A Symantec IT biztonsági cég egy új Java 0-day sérülékenységről kapott információt, amelyet kihasználva a támadók távolról tetszőleges kódot hajthatnak végre az áldozat rendszerén. A támadásban használt káros szoftver egy DLL állomány, amelyet a Symantec Trojan.Naid-ként ismer fel, és amely a 110.173.55.187 IP címen lévő C&C (command-and-control) szerverhez kapcsolódik. Érdekesség, hogy a káros szoftver kapcsolódik a néhány héttel ezelőtt történt Bit9 betöréshez, mivel azt a biztonsági cégtől megszerzett tanúsítvánnyal írták alá, de ezen kívül egy másik támadásban is felhasználták. Az akkori esetben is ugyanezt az IP címet használta a káros szoftver. A Trojan.Naid elemzése azt mutatja, hogy a támadók rendkívül kitartóak, és számos kifinomult módszert képesek felhasználni a céljaik érdekében, amelyek közt elsősorban az ipari kémkedés szerepel. A Java 0-day sérülékenység a legfrissebb 1.7u15 és 1.6u41 verziókat érinti.

Az adathalász támadások, a spam-ek, az önmagukat másoló férgek ugyanúgy a mindennapjaink részei lesznek a jövőben, ahogy az elmúlt húsz évben is itt voltak, állítják a kutatók, akik az RSA Security Conference-en vettek részt San Francisco-ban. Azonban összehasonlítva a múlttal, a mostani biztonsági szakértőknek egy sokkal összetettebb feladattal kell megbirkózniuk, hiszen az okostelefonok szinte mindenki zsebében ott lapulnak, az adatközpontokban pedig a virtuális gépek és a felhők jelentenek lényegesen több munkát, ezért nehezebb lesz megvédeni a fontos információkat a bűnözők és kémek ellen. A szakemberek arra a kérdésre, hogyan fognak kinézni a közel és távol jövő káros szoftverei, egyszerű választ adtak: ugyanúgy, mint ma.

Jean-Ian Boutin az Eset vírusirtó cég kutatója egy olyan trójai káros szoftvert fedezett fel, amelyet érvényes digitális tanúsítvánnyal írtak alá. A banki felhasználói adatokra specializálódott trójai ezzel meg tudja kerülni felületes teszteket, mivel ártalmatlan programnak látszik. A jelek szerint a tanúsítványt a DigiCert Certificate Authority adta ki, egy olyan cég amely időközben megszűnt.

A Budapesti Műszaki Egyetemen működő CrySyS káros szoftver elemző labor munkatársainak és az orosz Kaspersky Lab kutatóinak együttes erőfeszítésének köszönhetően egy új és rendkívül veszélyes kémszoftvert sikerült felderíteni.

Biztonsági szakértők kedden hozták nyilvánosságra, hogy az iráni nukleáris programot egy időre lelassító Stuxnet féreg két évvel korábban tűnt fel, mint ahogy azt eddig hitték. Jelenleg úgy vélik, hogy a katonai célra készült káros szoftvert eredetileg 2005, de talán még annál is korábban készítették. A Symantec Security Response tagjai által készített 18 oldalas tanulmányban bemutatják a Stuxnet 0.5-nek nevezett verziót. Eddig mindenki úgy hitte, hogy a 2010-ben felfedezett, a Natanz-ban lévő urándúsító létesítményt megtámadó féreg legkorábbi verzióját 2007-ig lehet visszakövetni.

A padlón hálózati kábelek tekeregnek, titokzatos folyamatábrákkal vannak teleírva a táblák, sőt még a falakra is jutott belőlük. Egy teljes méretű Batman figura áll az előtérben. Ez az iroda pontosan úgy néz ki, mint bármelyik másik geek munkahely, azonban akik itt dolgoznak, azok a kiberháborúk frontvonalában állnak, ahol a csaták nem távoli dzsungelekben vagy sivatagokban zajlanak, hanem pontosan olyan elővárosi irodakomplexumokban, mint ahol ez is van. A moszkvai székhelyű Kaspersky Lab egyik legrutinosabb biztonsági szakértőjének a munkahelye a Massachusetts állambeli Woburn-ben található. Roel Schouwenberg egész napját és gyakran az éjszakáinak egy részét is ebben az irodában tölti, ahol a legalattomosabb, az erőműveket, vízműveket, bankokat és más kritikus infrastruktúrákat támadó káros szoftverekkel veszi fel a harcot.

"Az ember jelenti a legnagyobb fenyegetést". A Houston Chronicle most megjelent riportja szerint kitűnően példázzák ennek az állításnak az igazságát azok az esetek, amelyekben a tengeri olajfúrótornyokon lévő számítógépek úgy fertőződtek meg, hogy az alkalmazottak pornót és kalóz szoftvereket töltöttek le az Internetről. A cikk szerint számos torony hálózata esett áldozatul a támadásnak, és voltak olyanok is, amelyekkel elveszett az internetes kapcsolat a fertőzés miatt. A Mexikói öbölben lévő egyik platform teljesen lezárta a rendszerét a káros szoftverek miatt. A kiberbiztonsági szakértők szerint az ilyen energiaiparban működő rendszerekben nem szabadna egy átlagos malware fertőzésnek komoly károkat okoznia, azonban egy célzott támadás segítségével óriási problémákat lehet előidézni. A legrosszabb esetekre készített forgatókönyvek szerint akár katasztrófák is bekövetkezhetnek: egy olajfúrótorony hibásan működő, összetett rendszere robbanást, olajszennyezést okozhat, és emberi életeket is veszélyeztethet.

A biztonsági szakértők számára az advanced persistent threat (APT) fogalma olyan hétköznapivá vált, mint a vírus vagy a trójai. De ahogy a folyamatos védekezésre kényszerült szakemberek egyre többet tudnak az APT által jelentett veszélyekről, úgy terjed egy új fenyegetés: az advanced volatile threat (AVT). Az AVT ahelyett, hogy a tárolt adatokat és alkalmazásokat veszélyeztetné, inkább a memóriában lévő tartalmat támadja, állítja John Prisco a Triumfant biztonsági tanácsadó cég vezetője, aki sokat tanulmányozta a témát az elmúlt hónapokban, és aki megalkotta a kifejezést. "Az AVT támadások a memóriában futó folyamatokat veszik célba, és ezért nem is nevezzük őket állandónak (persistent) mint az APT-ket. Mivel a memóriában lévő adatokra vadásznak, ezért ezeket nem is lehet a tárolt állományok vagy más ismert veszélyek észleléséhez használt módszerrel felderíteni. Csak a memóriában vannak jelen, és ha kikapcsoljuk a számítógépet, akkor eltűnnek. Néha még az előtt, hogy leállna a rendszer". Valójában semmi újdonság nincs a memória szintű támadásokban - a SANS Institute már 2011-ben az egyik  legveszélyesebb módszernek nevezte a RAM scraping módszert - de az ilyen exploit-ok eddig ritkák voltak. A Triumfant véleménye szerint azonban ezek is bekerülnek a gyakori veszélyek közé.

Új nap virrad, újabb média céget törtek fel. Most az NBC vált a hacker-ek áldozatává, és ezzel beállhat a The New York Times és a Wall Street Journal által megkezdett sorba. Több szakértő is megerősítette, hogy feltörték az NBC weboldalát, és ez utat nyitott a veszélyes Citadel banki trójainak. Az oldalon egy olyan iframe-et fedeztek fel, amely átirányította a látogatókat egy olyan oldalra, amelyen keresztül a RedKit Exploit Kit letöltötte a Citadel-t a gyanútlan felhasználók gépére. A HitmanPro blog szerint két olyan hivatkozás is volt az oldalon, amely a fertőzött weblapra vezetett. Az egyik a főoldalon volt, a másik egy belső lapon. A hivatkozások Java és PDF exploit-okra mutattak, amelyek telepítették a Citadel-t (a Java sérülékenység ugyanaz volt, amit a Java 7u11 verzióban javított az Oracle). Az oldal órákon keresztül volt fertőzött, és a támadók folyamatosan változtatták az iframe-et, és a hivatkozások is több fertőzött oldalra mutattak.

A közösségi oldal bejelentette, hogy egy kifinomult Java 0-day támadással próbáltak meg behatolni a vállalat rendszereibe az elmúlt hónapban. Szerencsére a szakemberek gyorsan felismerték a káros szoftvert, így intézkedéseket tudtak hozni, mielőtt kárt okozott volna a támadás. A Facebook security blogja szerint a támadás azután következett be, hogy néhány alkalmazott olyan mobil fejlesztői weboldalra látogatott el, amelyet korábban feltörtek. Nincs arra utaló jel, hogy a közösségi oldal felhasználóinak adatait veszély fenyegetné. A vállalat a nyomozásba bevonta a szövetségi hatóságokat is, emellett rámutattak arra is, hogy a támadás nem csak a Facebook-ot veszélyeztette, hanem számos más vállalatot is.