Работа в Стамбуле

Метка: ettercap ng mitm

  • О подмене маршрута в зоне bgp в процессинге фиата и крипты

    О подмене маршрута в зоне bgp в процессинге фиата и крипты

    Перво наперво стоит провести анализ транзитного сетевого трафика с помощью любого сетевого анализатора в «неразборчивом» режиме работы сетевой карты (promiscuous mode). В качестве сетевого анализатора для подобных целей замечательно подходит WireShark или CommView. Чтобы выполнить этот этап, хватит и пары часов работы сетевого анализатора. По прошествии этого времени накопится достаточно данных для проведения анализа перехваченного трафика. И в первую очередь при его анализе следует обратить внимание на следующие протоколы:
    • протоколы коммутации (STP, PVST+, CDP, DTP, VTP, и им подобные)
    • протоколы маршрутизации (RIP, BGP, EIGRP, OSPF, IS-IS и другие)
    • протоколы динамической конфигурации узла (DHCP, BOOTP)
    • открытые протоколы (telnet, rlogin и подобные)
    Что касается открытых протоколов, – вероятность того, что они попадутся во время сбора пакетов проходящего мимо трафика в коммутируемой сети, достаточно мала. Однако, если такого трафика много, то в обследуемой сети явно наблюдаются проблемы в настройках сетевого оборудования.
    Во всех остальных случаях присутствует возможность проведения красивых сценариев:
    • классическая MITM (Man in the middle) в случае, когда используется DHCP, RIP
    • получение роли корневого узла STP (Root Bridge), что позволяет перехватывать трафик соседних сегментов
    • перевод порта в магистральный режим с помощью DTP (enable trunking), позволяет перехватывать весь трафик своего сегмента сети
    Для реализации этих сценариев взаимодействия с сетевыми протоколами коммутации доступен замечательный инструмент Yersinia.

    Предположим, что в процессе анализа трафика были выявлены пролетающие мимо DTP-пакеты (смотри скриншот). Тогда отправка пакета DTP ACCESS/DESIRABLE может позволить перевести порт коммутатора в магистральный режим. Дальнейшее развитие этого сценария позволяет прослушивать весь свой сегмент этой сети.

    использование Yersinia для реализации mitm сценария
    После тестирования канального уровня стоит переключить внимание на третий уровень модели OSI. Дошла очередь и до проведения сценария взаимодействия через ARP-poisoning. Тут все просто, выбираем инструмент Ettercap NG. Все дело в том, что в случае успешной реализации сценария ARP-poisoning в отношении всего своего сегмента сети может наступить ситуация, когда MiTM компьютер по середине не справится с потоком поступающих данных и, в конечном счете, это может стать причиной отказа в обслуживании целого сегмента сети, что обязательно заметят. Поэтому наиболее правильным будет выбрать единичные цели, например, рабочие места администраторов и/или разработчиков, какие-либо определенные серверы (возможно контроллер домена, СУБД, терминальный сервер, bgp-маршрутизатор и другие важные элементы сети).
    Успешно проведенная ARP-poisoning позволяет получить в открытом виде пароли к различным информационным ресурсам – СУБД, каталогу домена (при понижении проверки подлинности NTLM), SNMP-community string, bgp пакеты UPDATE, пароли для сетевого оборудования с уровнем доступа level 15 и другие приятные вещи. В менее удачном случае могут быть получены хеш-значения от паролей к различным системам, которые нужно будет постараться восстановить по радужным таблицам (rainbow tables), по словарю или методом «в лоб». Перехваченные пароли могут использоваться где-то еще на других сайтах в сети интернет, но впоследствии это также необходимо подтвердить или опровергнуть.
    Кроме того, стоит проанализировать весь перехваченный трафик на присутствие CAV2/CVC2/CVV2/CID/PIN, передаваемых в открытом виде. Для этого можно пропустить сохраненный cap-файл через NetResident и/или 0x4553-Intercepter. Второй, кстати, замечательно подходит для анализа накопленного трафика в целом.

    Встраивание в уже созданную BGP сессию и реализация bgp hijacking

    Сразу стоит обозначить результат — поменять маршруты движения трафика, но не управлять каким-то bgp-роутером через консоль, то есть не проникая в его систему управления от слов совсем и никак, просто модифицировать данные его таблиц маршрутизации. Для этого используется обычная реализация IP Spoofing + TCP hijacking = BGP Spoofing сценария для того, чтобы перенаправить все общение между двумя роутерами через свой хост, то есть осуществление полного перехвата и фильтрации BGP-сесий этих роутеров. Об инструментах, которые позволяют сделать это внутри транзитной сети поговорим немного позже.

    Реализация BGP spoofing сценария через консоль роутера

    После того, как был получен доступ к bgp-роутеру, крнечный результат реализации сценария bgp-hijacking будет зависеть от настроек его bgp-соседей. Есть вероятность, что этому bgp-роутеру доверяют все его bgp-соседи, а им — их bgp-соседи и так далее, так можно незаметно поменять пути маршрутизации и сделать bgp-обход целых сетевых сегментов, манипулируя при этом огромными объемами сетевого трафика в Интернет. 
    А возможно, что через этот bgp-роутер можно будет изменить пути только в сети, в которой он сам и находиться или в автономной системе этого bgp-роутера, но и это на самом деле не такой уж и плохой результат, даже если сеть или Автономная Система небольшие.

    Для начала надо определить, из каких AS у нас наиболее вероятен перехват трафика, а это, как правило, соседние AS относительно той, в которой находиться BGP-роутер. Принадлежность определенного IP к AS и соседи определенной AS могут быть получены различными сервисами, например, тот же ipinfo.io либо простым выполнением команды show ip bgp neighbors на роутере. 

    Еще есть интересные сервисы, такие как asnmap.com или bgplay от RIPE. Интерфейс BGP роутера — консоль с ограниченными, определенными командами для управления и конфигурирования текущего BGP демона или устройтсва и некоторых прилагающихся сетевых сервисов. То есть попав на этот интерфейс можно в реальном времени без каких-либо перезапусков и перезагрузок менять конфигурацию bgp-демона или устройства, хотя если попасть в файловую систему роутера, то можно и поменять конфигурацию с его перезапуском.

    Так всё таки, какой сценарий выбрать для понимания bgp в крипте?

    Эксплуатация уязвимостей протокола BGP в контексте криптовалют и блокчейнов — это довольно специфическая область, которая требует углубленного изучения. Давайте разберемся, какие сценарии могут быть наиболее востребованы в контексте процессинга крипты. В сети блокчейнов первого уровня маршрутизация между нодами использует протокол BGP для установления соединений между ними через Интернет, например, Bitcoin или Ethereum. Новые блоки, содержащие транзакции, также распространяются по сети Интернет при помощи BGP, и оно играет важную роль в синхронизации состояния всего блокчейна. BGP помогает поддерживать согласованность состояния блокчейна между всеми нодами. 
    Децентрализованные биржи (DEX) также осуществляют обмен ордерами при помощи BGP и стабиьность его работы влияет на эффективность маршрутизации ордеров между различными DEX. Обеспечение ликвидности: BGP может помочь в распределении ликвидности по различным пулам. 
    Так какой же сценарий выбрать?

    Выбор конкретного сценария зависит от ваших целей.  Если вы новичок и только начинаете изучать BGP в контексте криптовалют, то лучше начать с простых сценариев, таких как маршрутизация в сети Bitcoin и управление bgp-роутером через консоль. Но для этого Вам предстоит сначала найти этот роутер и получить к нему доступ ранее озвученными методами, включая пример на видео. 

    Если вы уже разрабатываете блокчейн-приложения, то вам будет полезно изучить, как BGP используется для масштабирования и создания децентрализованных сетей. Тажке если вы занимаетесь администрированием блокчейн-инфраструктуры, то вам необходимо понимать, как BGP используется для обеспечения надежности и доступности сети. BGP — это сложный протокол, и его полное понимание требует времени и усилий. Начните с простых концепций и постепенно углубляйтесь в более сложные темы. Для воздейтвия на таблицу маршрутизации bgp-роутера без доступа в его консоль вам понадобится специализированное программное обеспечение, например ciag-bgp-tools-1.00.tar.gz или Insinuator (ex loki).
    ARP сканирование с помощью loki

    Хотите более конкретные рекомендации? Расскажите о ваших текущих знаниях и целях, и я смогу подобрать для вас наиболее подходящий сценарий. Какие из этих сценариев вы хотели бы изучить подробнее?
  • Нелегальный майнинг и причём тут контроль над Multihomed AS

    Нелегальный майнинг и причём тут контроль над Multihomed AS

        Денег нет, но вы держитесь! Думаю, что таких кейсов с каждым днём становится в этой стране будет всё больше и больше, если раньше легко можно было срубить бабла на комиссионных, продав лоху квартиру в ипотеку от застройщика, то теперь так уже заработать не получается от слова совсем. Поэтому проверенные лоховоды вынуждены переквалифицироваться в дроповодов и искать новые схемы заработка.

        Как войти в тему нелегального майнинга?

        Контролируя всю автономную систему, можно как угодно управлять потоками трафика, например, направлять их в чёрные дыры (black hole) или перенаправлять часть трафика через контролируемый маршрутизатор. Всё это затем можно использовать для захвата и изучения интересующего трафика, к которому ранее не было доступа, не говоря уже про всевозможные сценарии DDoS-атак или контроль майнинговых пулов, транзакций любого blockchain и переводы котпровалют.
    Автономными системами управляют не только инженеры электросвязи

    Одним из самых интересных вариантов видится как раз в перенаправлении трафика по другому маршруту. Выбросив один маршрутизатор из общего процесса маршрутизации, можно заставить остальные маршрутизаторы пересчитать свои таблицы маршрутизации и таким образом оперировать гораздо большим объёмом трафика, а в некоторых случаях получить уникальный и недоступный никаким другим способом трафик, содержащий важные сведения, криптовалютную, blockchain или банковскую информацию.

        Проще всего получить доступ в такую сеть можно используя Yersinia или Ettercap NG, предварительно послушав сеть при помощи WireShark и выбрав нужный вектор использования первого или второго софта.

        А оно мне надо?

        За посление десять лет всё поменялось кардинальным образом. Нет больше людей, кто динамит через панели со счетами и картами и мутит на карты своих дропов. Зато на операторов миксеров криптовалют открыта настоящая охота, казалось бы, что есть проще проведения платежей из фиата в крипту для владелцев онлайн-казино и электронных букмекеров? Проверенные дроповоды теперь изготавливают карты и счета именно для этих схем. А ещё есть арбитраж крипты, на нём тоже неплохо можно заработать, пока карта твоего дропа не улетит в блок со всем заработанным тобою выигрышем на этом очень волатильном рынке. К тому же продать криптовалюту с исползованием росийских банковских карт с каждым днём в этой стране становится всё сложнее.

        Так, одна россиянка недавно продала цифровые доллары usdt на криптобирже и попала в черный список Центробанка. Все кредитные организации заблокировали её счета и карты, а также ограничили доступ в свои банковские приложения. Со слов девушки, на платформе Bybit она нашла покупателя, которому отправила 1100 USDT в обмен на 100 тыс. руб. Деньги пришли на её счет от третьего лица, некой Анастасии. Через несколько дней сотрудники Т-Банка сообщили, что Анастасия просит вернуть деньги, так как отправила их по ошибке. А после отказа сразу пять банков сообщили пострадавшей, что ее счета заблокированы. Политика кредитных организаций в отношении платежей на карту от физлиц постоянно ужесточается. К данным операциям у банков повышенное внимание. Нередко случаются блокировки. Причина заключается в том, что в целом регулирование оборота цифровой валюты появилось у нас не так давно. В прошлом году это коснулось майнинга, сейчас использования во внешнеэкономических расчетах.
        Банки относятся достаточно настороженно к операциям по купле-продаже цифровых активов. Наиболее популярная механика таких сделок заключается в совершении так называемых сделок P2P через криптобиржи, которые выступают в них посредником. Существуют ещё и определенные схемы дроповодов, в частности, «треугольник», когда дроповод сообщает реквизиты, по которым нужно провести исполнение по сделке, а другой стороне — свои реквизиты. Это случаи, как в этой истории: средства за криптовалюту, которую продавала девушка, направили на третье лицо. И такие кейсы сейчас очень распространены.
        Для удаления из черного списка клиенту банка необходимо подать заявление в ЦБ России. По словам девушки, регулятор дважды ей отказал в этом, после чего она обратилась к юристам. На одной из консультаций ей посоветовали вернуть деньги третьей стороне, от которой пришла оплата за цифровые доллары. Пострадавшая перевела 100 тыс. руб., и через несколько дней банки разблокировали ей счета. При переводах, связанных с криптовалютой, риски будут существовать в любом случае. Если вы принимаете деньги от неизвестного лица на карту, и этот человек попадает по 115-ФЗ или по 161-ФЗ в чёрный список, то автоматически это происходит и с вами, и со всей сетью контактов, которая была с ним так или иначе связана. И не факт, что в банке, который принял эти деньги, вас разблокируют. Сейчас есть десятки сайтов, где по факту выставляется предложение от физического лица по продаже криптовалюты и собираются заявки от тех, кто хочет её купить.
        Нередко недобросовестные игроки такого рынка пользуются картами дропов. Они, как правило, работают до трех месяцев, и потом их блокируют. У комплаенса банка свои алгоритмы, которые совершенствуются каждый день. Если вы человека не знаете и пытаетесь что-то на что-то поменять, в случае, когда что-то пойдет не так, вы тоже рискуете попасть в чёрный список Центрального Банка. Напомню, что летом прошлого года россияне стали часто жаловаться на блокировки карт и счетов после 25 июля, когда вступили в силу поправки к 161-ФЗ. Они обязали банки возвращать клиентам все деньги, отправленные дропам, если получатель фигурирует в черном списке Центрального Банка России.

        В сухом остатке

        Иными словами окно возможностей легко зарабатывать в этой стране стремительно сужается. Кто не успел заработать хоть какие-то значимые суммы на продаже квартир от застройщика или на схемах арбитража криптовалют — тот опоздал. Те, кто занимаются обычным процессингом также регулярно попадают в чёрные списки Центрального Банка. Ничего не поделаешь, придётся осваивать новые технологии и заходить в тему нелегального майнинга без покупки ASIC аппаратов — такое тоже возможно с современном мире. Но об этом мы расскажем немного позднее.
  • Ettercap 0.7.4 для Windows и bgp в криптоканалах

    Ettercap 0.7.4 для Windows и bgp в криптоканалах

    Ettercap NG – сетевой sniffer /interceptor/ logger для коммутируемых сетей (switched LAN). Программа использует ARP poisoning и “man-in-the-middle” методы нападения, чтобы перехватывать подключения между двумя хостами в реальном времени. Вы можете перехватить трафик между двумя хостами в сети интернет, используя MAC-based sniffing mode. Позволяет перехватывать SSH1, HTTPS и другие защищенные протоколы. В последнее время часто используется для реализации сценариев bgp spoofing при MiTM на майнинг и протокол bgp как таковой.


    Позволяет расшифровывать пароли для следующих протоколов — TELNET, FTP, POP, RLOGIN, SSH1, ICQ, SMB, MySQL, HTTP, NNTP, X11, NAPSTER, IRC, RIP, BGP, SOCKS 5, IMAP 4, VNC, LDAP, NFS, SNMP, HALF LIFE, QUAKE 3, MSN, YMSG или как это говорят на профильных площадках «Сетевой инженер шатает bgp».


    Перехват трафика Ettercap NG и как это работает?

    Ettercap NG — это мощный инструмент для перехвата сетевого трафика, который использует несколько ключевых методов для достижения своих целей:
    ARP-спуфинг. Ettercap подменяет MAC-адрес шлюза на свой собственный в ARP-таблице целевого устройства. В результате, весь трафик, предназначенный для шлюза, направляется на атакующий компьютер. Более подробно это выглядит так:
    •  Ettercap NG отправляет поддельные ARP-пакеты, утверждая, что он является шлюзом.
    •  Целевое устройство обновляет свою ARP-таблицу и начинает отправлять трафик на машну с Ettercap NG.
    •  Ettercap NG перехватывает этот трафик и может его анализировать, модифицировать или перенаправлять.
    Прозрачный прокси. Ettercap NG устанавливает себя в качестве промежуточного сервера между клиентом и сервером. Весь трафик, проходящий через это соединение, проходит через Ettercap NG.
    • Ettercap NG перехватывает соединение между клиентом и сервером.
    • Модифицирует пакеты таким образом, чтобы клиент и сервер думали, что общаются напрямую.
    • Ettercap NG может дешифровать и шифровать трафик, а также изменять его содержимое.
    Инъекция пакетов. Ettercap NG может вставлять свои собственные пакеты в сетевой трафик.
    Анализ протоколов. Ettercap NG поддерживает широкий спектр сетевых протоколов и может анализировать их содержимое.
    Фильтрация пакетов. Ettercap NG позволяет фильтровать пакеты по различным критериям, таким как IP-адрес, порт, протокол и т.д.

    Для чего используется Ettercap?

    Анализ безопасности. Для выявления уязвимостей в сетевых устройствах и приложениях.
    Перехват паролей. Для перехвата незашифрованных паролей.
    Проксирование. Для создания прозрачных прокси-серверов.
    Отладка сетевого трафика. Для отладки сетевых приложений.
    MiTM на майнинг
    Реализация bgp spoofing сценариев
    Атаки на протокол bgp
    Атаки с подменой маршрутов в зоне bgp
    BGP сервер для обхода
    BGP сценарии с подменой маршрутной информации

    с Ettercap NG методов работы всего три


    1) <a>, ARP poisoning based sniffing, применяется для сниффинга в коммутируемых локальных сетях второго уровня, а также для применения bgp spoofing сценариев класса mitm. В данном случае используется сценарий arpoison, которая модифицирует ARP-таблицы целевых хостов таким образом, что все кадры данных с выбранного source идут на твой хост с Ettercap NG, а с твоего хоста уже — на destination в пункт назначения на bgp-роутер или клиенту криптомоста, это уж как тебе будет удобнее. 

    Иными словами, с помощью этого метода сниффинга ты сможешь видеть любой траффик твоего сегмента сети за пределами каких бы то ни было ограничивающих тебя коммутаторов. Ты также сможешь реализовывать любые mitm-сценарии, ровно с той же силой, как если бы твой хост на самом деле был бы посередине двух хостов. На основе этого метода, уже с версии 0.6.7 Ettercap NG реализует перехват (dissection) паролей протоколов ssh1 и https. Можно даже сниффить пароли в ssh версии 2, если подключить фильтр (ettercap -F etter.filter.ssh), который будет спуфить версию ssh-сервера с 1.99 (openssh-0.9.6, etc) на 1.51, поддерживающую только лишь первую версию протокола ssh.
    Очевидно, что для реализации сценария arpoison, ettercap’у необходимо зафлудить сеть целой пачкой сгенерированных ARP-пакетов, и я тебе скажу больше, что на современных управляемых коммутаторах уже есть средства, отлавливающие этот сценарий. И уж конечно тебе решать, как от этого спасаться, чтобы не спалиться Можно, например, вводить ложный IP-адрес…


    2,3) <s>, IP based sniffing, <m>, MAC based sniffing, это обычный пассивный сниффинг локальной сети. Возможности такого сниффинга ограничены, хотя меня впечатлило количество поддерживаемых протоколов при относительно небольшом размере программы.
    Напихав нужные адреса в source, destination или в оба сразу (я выбрал 192.168.0.200 в качестве source), выбирай метод сниффинга (я выбрал <a>), ты попадешь в соответствующее окно:

    Графическая оболочка Ettercap NG 0.7.4

    и будешь видеть все интересующие тебя соединения. Для того, чтобы собирать пароли, делать не нужно вообще ничего =)) Наведи курсор на нужное тебе соединение: пароли будут появляться в нужной части экрана =)) Сброс паролей в лог — кнопка <l>. Нажми на кнопку <h> и ты увидишь новый диапазон возможностей, уверен, он тебя впечатлит. Убийство соединений, хайджекинг, филтеринг, etc… Что ещё нужно для перехвата bgp-сессии и реализации bgp-spoofing сценария при работе с криптоканалами и криптомостами? =) На видео более подробно поговорим про утечки маршрутов (route leaks) и к чему вообще всё это….



    ВКУСНОСТИ
    Возможности программы ettercap ng огромны, но я почти уверен, что они тебя не удовлетворят на все 100%. Ну что же, для твоих криптовалютных целей предусмотрены варианты в виде:


    1) Написания плагинов; ну тут все просто и понятно: не влезая в кишки ettercap’a, юзаешь плагинный интерфейс этой проги и делаешь нужный тебе компонент, который ты сможешь подгружать в программу всякий раз, когда тебе это нужно.


    2) Возможность bind’ить локальный порт, с которым ettercap проассоциирует нужное тебе соединение, например по 179 порту. Это очень ценное свойство программы: ты сможешь заранее реализовать нужные тебе механизмы, воспроизвести которые в реальном времени обычными средствами весьма затруднительно =)) Проще говоря, влезать в чужие IRC-приваты и материться можно и руками, но если ты захочешь впарить кому-нибудь бекдор, проспуфив http или ftp, или сообщить какому-нибудь биржевому игроку, что его акции упали в цене в четыре раза, или же подменить некий криптомост, где плавают жирные киты на время своим мостом с нужными тебе смартконтрактами, такое свойство программы может оказаться весьма и весьма кстати =))

    Ettercap NG 0.7.4 скачать

  • Как китайские дропы меняют крипту на фиат

    Как китайские дропы меняют крипту на фиат

    Амеры предупреждают, что малые и средние криптоканалы и криптомосты стали мишенью для атаки, в ходе которой применялись сценарии bgp spoofing и был реализован bgp hijacking путём подмены и обхода трафика были переведены значительные криптовалютные активы, эквивалентные миллионам долларов, которые впоследствии перечислялись на криптокошельки китайских дропов и обменивались на фиатные деньги.

    Криптовалютные схемы в Китае используют сценарии bgp spoofing и реализают bgp hijacking

    Уведомление о произошедшем скачивании денег со счетов, изданное ФБР, обвиняет Китай в киберпреступной операции от которой предприятия малого и среднего бизнеса США потерпели убытки в размере 18 миллионов долларов за 2013 год.
    ФБР предупредило, что они выявили 20 случаев, когда данные закрытых ключей крипто кошельков подвергались утечке при использовании обхода и подмены маршрута с помощью bgp при помощи которых криптовалюта была залита на кошельки расположенных в Китае дропов, а также экономических и торговых компаний. Нарушители пытались сделать процессинг крипты с помощью bgp в общей сложности в эквиваленте около 200 миллионов долларов в период с марта по сентябрь прошлого года.
    Самое поразительное в докладе ФБР – небывалое количество информации, которое бюро предоставило средствам массовой информации, криптобиржами и банкам. Были изложены шаги и пути, использованные нарушителями, а также географическое положение и поддельные имена компаний, дропов и их дроповодов. ФБР утверждает, что залитая крипта была переведена дропам и компаниям, расположенным в китайской провинции Хэйлунцзян, использующим в именах компаний китайские порты Raohe, Fuyuan и Jixi City, а также слова «экономический и торговый», «торговля» и «LTD.».
    Объем процессинга крипты варьировался в эквиваленте от 50 000 долларов до 985 000 долларов США, но большая часть криптовалютных транзакий превышала порог в 900 000 долларов. Согласно ФБР, процессоры крипты добились наибольшего успеха в выкачивании BitCoin именно тогда, когда переводили в эквиваленте менее 500 000 долларов США за раз. Когда крипта была перекачена на кошелёк дропа, её немедленно переводили в фиат и снимали, или переводили на другие крипто кошельки. Дроповоды также использовали неразводных дропов в США. «Нарушители также перекачивали криптовалюту на кошельки неразводных дропов в США, которые осуществляли перевод на другие кошельки и вывод в фиат за несколько минут. Локальные переводы на карты местных дропов с биржи при обмене криптовалюты на фиатные деньги составляли от 200 долларов до 200 000 долларов США. Получателями являлись денежные мулы — лица, с которыми владелец криптокошелька — жертва сотрудничал в прошлом, а в одном случае – общественное предприятие, расположенное в другом штате США», — заявило ФБР. Эти переводы со скомпрометированных криптовалютных кошельков варьировались в эквиваленте от 222 500 долларов до 1.3 миллиона долларов.
    Микки Будэй, генеральный директор Trusteer, считает, что ФБР опубликовало информацию о нелегальных криптовалютных транзакциях с использованием сценариев bgp spoofing в первую очередь для того, чтобы иметь под рукой действующую разведывательную информацию. «Уникальная особенность этого дела – то, что все криптовалютные активы скачивались в один и тот же регион. Перевод крипты сам по себе уникальным никогда не был».
    «На данный момент неизвестно кто стоит за этим скачиванием денег со счетов, были ли китайские счета конечным пунктом перекачки денег или деньги переводились еще куда-то, а также почему законные компании получали незаконные денежные переводы. Перекачивание денег на счета компаний, которые содержат похожие на описанные выше особенности, должны быть внимательно изучены», — сказано в сообщении ФБР.
    Специализированное ПО, использованное в некоторых попытках слива крипты через обход с реализацией bgp hijacking и сценариев bgp spoofing — WireShark, Ettercap NG, а также Insinuator и Nmap. Амеры отмечают, что одна из организаций-жертв не смогла даже  исследовать свой криптоканал, потому что жесткий диск сервера был дистанционно стёрт.
    Дэвид Йеванс, председатель Anti-Phishing Working Group и генеральный директор IronKey говорит, что хоть и рано говорить о том, кто именно стоит за этим сливом криптовалюты и перехватом bgp сессий провайдеров, но можно утверждать, что Китай тоже может быть «горячей точкой» киберугроз, а не только кибершпионажа. «Эта ситуация показывает то, что размах киберхулиганства растет и киберугрозы криптоканалам выходят на мировой рынок», — говорит он. «Если Китай выйдет на этот рынок, этот рынок может вырасти в 5 или даже в 10 раз».
    Эксперты в сфере киберугроз говорят, что процессинг крипты – дело рук одной команды. «Очевидно, что мы имеем дело с одной группировкой, триадой, которая и стоит за всем этим», — говорит Будэй из компании Trusteer.
    «Общая сумма в 20 миллионов долларов в криптовалюте – результат только одной из проводимых операций по перехвату закрытых ключей при помощи реализации bgp hijacking и обналичиванию денег в сети интернет», — говорит он. «Это – большая сумма для такого периода времени, но и она может быть увеличена в десятки раз из-за нелегальной деятельности китайских группировок, существующих сегодня в США».
    Амеры предупредили свои банки и криптобиржи внимательно следить за своими криптовалютными кошельками и транзакциями в пользу китайских городов Raohe, Fuyuan, Jixi City, Xunke, Tongjiang и Dongning, а также посоветовали предупредить своих клиентов.
    Полное сообщение ФБР о произошедшем выкачивании денег можно посмотреть на сайте.
  • GCHQ предпочитает использовать GRE-сниффинг

    GCHQ предпочитает использовать GRE-сниффинг

    GCHQ удалось успешно «модифицировать» некоторые версии программного обеспечения Cisco IOS и планировала взломать продукцию российской компании «Лаборатория Касперского» с целью установки в нее жучков, следует из откровений небезызвестного Эдварда Сноудена, ранее работавшего в компании Booz Allen Hamilton, выполнявшей некоторые щепетильные поручения Агентства Национальной Безопасности США.

    центр пассивного сбора информации GCHQ


    Центр правительственной связи Великобритании (Government Communications Headquarters, GCHQ) предпринял попытку взлома программного обеспечения «Лаборатории Касперского», однако удалось ли ему это сделать, неизвестно. Об этом сообщает газета The Guardian, в распоряжении которой оказался внутренний документ GCHQ, датированный 2008 г. GCHQ — спецслужба Великобритании, занимающаяся радиоэлектронной разведкой и решением вопросов информационной защиты органов власти и вооруженных сил. Документ был предназначен для министра иностранных дел Дэвида Милибэнда (David Miliband). В нем центр просил продлить разрешение на «модификацию» коммерческого программного обеспечения в обход правил, прописанных в лицензионных соглашениях на продукты. В документе были приведены примеры программных продуктов, которые GCHQ уже успешно взломала. В их число вошли популярная платформа для управления интернет-форумами и системы управления контентом веб-сайтов.

    The Guardian не сообщает конкретные названия. Кроме того, в документе говорится о том, что GCHQ удалось успешно взломать маршрутизаторы Cisco, заставив проходящий через них международный трафик выборочно идти через «центр пассивного сбора информации GCHQ». Это напоминает принципы работы Агентства национальной безопасности США, которое, как стало известно ранее, устанавливает жучки в идущее на экспорт оборудование Cisco. «Мы не комментируем сведения о нашей работе, — заявил газете The Guadrian представитель GCHQ. — Тем не менее, спешу убедить вас, что вся наша работа выполняется в строгом соответствии с правовой и рамочной концепциями. Вся наша деятельность разрешена, необходима и соразмерна. Она подвержена строгому контролю, включая контроль со стороны кабинета министров, уполномоченных комиссаров по разведывательной работе и парламентского совета по разведке и безопасности». Представитель центра добавил, что их работа также полностью соответствует Европейской конвенции о защите прав человека.

    Газета The Guardian также приводит выдержки из попавшего в ее распоряжение отчета Национального совета США по разведке (National Intelligence Council) от 2009 году. В нем Россия именуется «одним из основных противников» США в сфере кибер-угроз. В отчете говорится, что Россия располагает «квалифицированными» группами хакеров, которые «уже успешно продемонстрировали свою подготовку». В нем также отмечается, что в 2009 году Китай был основным источником финансирования кибер-атак на США, однако у страны не было того уровня квалификации и тех возможностей, которые есть у российских хакеров.