[!Ъ] «Облако» Amazon может красть финансовые данные
[Ъ]
«Облако» Amazon Web Services (AWS) - рассадник вредоносного кода, который используется для кражи финансовых данных, предупреждает Kaspersky Lab.
Как заявил эксперт компании Дмитрий Бестужев, облако Amazon содержит множество включений вредоносного кода, который может красть финансовые данные. Некоторые полагают также, что хакеры использовали облачные сервисы Elastic Compute Cloud (EC2) для запуска одной из атак на сеть онлайн-развлечений Sony в апреле и мае.
«Недавно появились сообщения, что облако Amazon послужило платформой для успешных атак на Sony, - пишет Бестужев в блоге о проблемах Amazon. - Что ж, сегодня я обнаружил, что [облако] Amazon Web Services используется теперь для посева кода, крадущего финансовую информацию».
Он обнаружил, что киберпреступники, организовавшие эти атаки, находятся в Бразилии и использовали несколько ранее зарегистрированных аккаунтов. Бестужев пишет, что он предупредил Amazon о наличии вредоносного кода, но спустя 12 часов опасные ссылки всё еще были там и действовали.
Эти атаки на Sony, пишет Бестужев, и обнаружение вредоносных ссылок в облаке Amazon свидетельствуют, что киберпреступники всё шире используют официальные облачные сервисы как плацдарм для своих атак.
Обнаруженный им код кражи финансовых данных выступает в нескольких формах; он доставляется на компьютер жертвы и действует разными способами, пишет Бестужев. В одном таком случае он действует как руткит; он ищет четыре разных антивируса и блокирует их выполнение, а также специальную программу защиты GBPluggin, используемую многими бразильскими банками для онлайн-транзакций. Этот код способен красть финансовую информацию из девяти бразильских и двух международных банков, красть идентификационную информацию Microsoft Live Messenger, цифровые сертификаты, используемые eTokens в своей системе, а также информацию ЦП, номер тома жесткого диска, имя ПК и другие данные, используемые некоторыми банками для аутентификации при входе в систему.
Вредоносный код на Amazon передает украденные данные двумя способами: по электронной почте на аккаунт киберпреступника на Google Gmail либо через специальный php-файл, который вставляет их в удаленную базу данных. Мало того, пишет Бестужев, вредоносный код защищен официальным антипиратским ПО под названием The Enigma Protector, чтобы затруднить декомпиляцию.
Всё это показывает, пишет Бестужев, что киберпреступники будут находить всё новые способы использовать облако для запуска своих атак, и поставщикам облака следует усилить меры защиты.
«Я полагаю, что официальные облачные сервисы будут и дальше использоваться преступниками для кибератак различных типов, - пишет Бестужев. - Поставщикам облака следует задуматься о совершенствовании своих систем мониторинга и расширении персонала защиты, чтобы эффективно пресекать попытки атак, предпринимаемые из их облака и с его помощью».
Вот уже полгода работаю с сервисами AWS Amazon, всем доволен... был... Пока не обнаружил сей опус, и сильно испугался.
хакеры использовали облачные сервисы Elastic Compute Cloud (EC2) для запуска одной из атак на сеть онлайн-развлечений Sony в апреле и мае
Если бы я был хакером наверно тоже использовал. Удобно и недорого.
Дмитрий Бестужев
Что ж, сегодня я обнаружил, что [облако] Amazon Web Services используется теперь для посева кода, крадущего финансовую информацию»
Посев кода. Никак не могу представить как сеют код. Видимо после посева он должен взойти.
Обнаруженный им код кражи финансовых данных выступает в нескольких формах; он доставляется на компьютер жертвы и действует разными способами, пишет Бестужев.
Я как активный пользователь AWS Amazon и есть жертва, по всей видимости. Теперь срочно ищу как мне его доставили и куда. Впрочем, счетов в бразильских банках пока не открывал.
Вредоносный код на Amazon передает украденные данные... через специальный php-файл, который вставляет их в удаленную базу данных. Мало того, пишет Бестужев, вредоносный код защищен официальным антипиратским ПО под названием The Enigma Protector, чтобы затруднить декомпиляцию.
Вредоносный код скомпилирован, но почту отправляет через специальный php-файл. Одно из двух, или на C++ нет функций для открытия сокета и отправки текстовых данных согласно протокола - поэтому пришлось использовать PHP-функцию mail(), или Дмитрий запутывает следы.
Чем-то напоминает сериал. Некие злоумышленники использовали сервис в своих грязных целях, причем не были обнаружены администрацией. А Дмитрий Бесстужев, эксперт лаборатории Касперского раскрывает их коварные планы, и сообщает владельцам Амазона, что они сеют вредоносный код. Но ему не верят, или игнорируют малограмотные буржуйские админы.
Потом мне звонит знакомый и спрашивает, нет ли у меня ключа к Касперскому. Хотя он убежденный сторонник Nod32. И в доказательство чистоты своих намерений показывает мне эту статью...
Linux тут ни при чем наверное, разве что на инстансе там у меня Ubuntu-server.
