Материалы по тегу: шпионаж

28.03.2018 [13:50], Сергей Карасёв

Обнаружены новые кибершпионские инструменты команды Hacking Team

Компания ESET сообщила об обнаружении ранее неизвестных образцов программного обеспечения для кибершпионажа Remote Control System (RCS), которое используется для слежки за пользователями в различных странах.

Созданием названных кибершпионских инструментов занимается итальянская команда Hacking Team. Функциональность RCS весьма широка: этот софт позволяет скачивать файлы с инфицированного компьютера, перехватывать письма и сообщения, удалённо управлять веб-камерой и микрофоном.

В июле 2015 года Hacking Team стала жертвой взлома, в результате которого в сеть утёк исходный код шпионского программного обеспечения. После этого команда занялась созданием модифицированных кибершпионских инструментов, которые теперь обнаружены в Сети.

Новые версии RCS поддерживают те же функции, что и до утечки исходного кода. Все они подписаны новыми цифровыми сертификатами.

Для распространения шпионских модулей используются фишинговые рассылки. Инструменты RCS могут маскироваться, например, под файлы в формате PDF при помощи двойного расширения. Названия документов-приманок ориентированы на потенциальных жертв из числа сотрудников дипломатических представительств.

«Анализ образцов позволяет сделать вывод о том, что их создал один и тот же разработчик (или группа разработчиков). Это не написанные изолированно друг от друга версии разных авторов, воспользовавшихся слитым в Интернет исходным кодом», — добавляет ESET. 

Постоянный URL: http://servernews.ru/967635
02.07.2014 [13:38], Дмитрий Приходько

Хакеры из Dragonfly 1,5 года саботировали работу крупнейших энергетических предприятий

Кибершпионаж сегодня используется не только для получения секретной государственной информации о военных и политических планах правительства других стран. Всё чаще в качестве потенциальной цели выбираются объекты, имеющие первостепенное экономическое значение, в частности — предприятия энергетического сектора. Согласно докладу представителей Symantec — фирмы из Купертино, занятой разработками ПО в сфере информационной безопасности, хакерская группа под названием Dragonfly продолжительное время вела «подрывную деятельность» в виртуальном пространстве. В её послужном списке значится ряд стратегически важных объектов, доступ к управлению процессами и ценнейшим секретным данным, которые сумела заполучить команда хакеров. В качестве целей для удара «Стрекоза» выбирала организации, занятые в энергетическом секторе, нефтепереработке и производстве, поставках крупного промышленного оборудования, газодобыче и других схожих отраслях.    

www.bea-tdl.de

www.bea-tdl.de

Для оперативного и незаметного получения контроля за системами крупных промышленных предприятий злоумышленники использовали троянцы, позволяющие мониторить, извлекать файлы и следить удалённым способом за действиями потенциальных жертв и даже отдавать команды для смены режима работы технологических машин. Вредоносное ПО, основой которого стали троянцы Backdoor.Oldrea («Энергетический медведь») и Trojan.Karagany, а также специально написанный под конкретную операцию код, попадало совсем нехитрым способом в чужую систему одновременно с загрузкой обновлений на компьютеры, имевших подключение к Всемирной сети. Также специалистами Dragonfly был задействован и старый добрый метод активного спама на адреса электронной почты.

www.malekal.com

www.malekal.com

Именно спам и стал первоначальной тактикой киберпреступников, как отработанный и эффективный. Вирусы попадали на почту руководителей и сотрудников компаний под видом PDF-вложений. Заголовки «заражённых» писем обычно имели две характерные особенности. Это были сообщения, в теме которых указывалось что-то вроде «Внимание» или «Урегулирование вопросов поставки», а вся входящая корреспонденция отправлялась с единого адреса в почтовой системе Gmail. Уже позже в ход пошла и более «тяжёлая артиллерия» в виде взлома официальных сайтов предприятий энергетической отрасли и грамотное перенаправление посетителей на инфицированные ресурсы, а также тщательного поиска на предмет уязвимости промышленных систем. 

pcworld.com

pcworld.com

Отправка почтового спама интенсивно практиковалась хакерами Dragonfly с начала февраля 2013 года и продолжалась до июня 2013 года, а под целенаправленный удар по данным Symantec попало не менее семи весьма крупных организаций. На почту каждой из них было выслано от одного до 84 писем схожего характера. 

Аналитикам при сборе материалов и статистики атак удалось установить следующие временные показатели, определяющие географическую принадлежность киберпреступников. Хакеры действовали преимущественно с понедельника по пятницу, а их активность начиналась около 9 часов утра и продолжалась до 18 часов по часовому поясу UTC+4. Стоит отметить, что эксперты считают местом базирования группы одну из стран Восточной Европы, предположительно — Российскую Федерацию. Об этом недвусмысленно намекают и указанный в отчёте часовой пояс, и пестрящие заголовки зарубежных интернет-изданий про причастность именно российских специалистов. В указанный UTC+4 попадает достаточно большая территория России, а также Армения, Грузия, Оман, Маврикий и ещё пара не слишком активных с точки зрения хакерской деятельности государств. 

twitter.com

twitter.com

Пожалуй, одной из самых грандиозных кампаний стала атака с помощью любимца программистов Dragonfly — «Энергетического медведя». По имеющимся данным, опасность данной программы состояла в том, что она позволяла не просто наблюдать за происходящими процессами в системе и открывать доступ к файлам. Хакерам, внедрившим в промышленный комплекс «Энергетического медведя», открывался доступ к средствам контроля и настройками функционирующих в заданном режиме энергетических установок, вроде ветроагрегатов, турбин, компрессоров, газопроводов. Несмотря на то, что первоначальной задачей вредоносного ПО значилась исключительно пассивная роль мониторинга, модифицированные варианты открывали доступ к реальным и опасным инструментам саботирования, которое могло привести к экономическому краху и человеческим жертвам.

definicije.blogspot.com

definicije.blogspot.com

Второй наиболее часто внедряемый троянец — Backdoor.Oldrea — является вполне стандартной программой, созданной, вероятнее всего, силами самих хакеров. Он позволяет получать данные о всех установленных программах, извлекать данные из адресных книг почтовых клиентов и файлов. Затем все собранные сведения шифруются и оказываются уже на удалённом сервере, находящемся под управлением киберпреступников.

Что касается Trojan.Karagany, то он не является творением членов Dragonfly, а доступен для приобретения на «чёрном рынке». Первая его версия была обнаружена ещё в 2010 году, а нынешняя вариация троянца постоянно подвергалась модификациям в зависимости от конечной цели применения. 

Считается, что неизвестным удалось за 1,5 года инфицировать вирусом свыше 1000 организаций в 84 странах мира. Вредоносные действия Dragonfly распространились практически по всей планете, скомпрометировав деятельность организаций в США, Испании, Франции, Италии, Германии, Турции, Польше и т.д.

Постоянный URL: http://servernews.ru/823217
11.02.2014 [13:22], Андрей Крупин

«Лаборатория Касперского» раскрыла новую сеть кибершпионажа

«Лаборатория Касперского» объявила о раскрытии новой кибершпионской сети, получившей название «Маска» и затронувшей компьютерные системы в более чем трех десятках странах мира, включая Ближний Восток, Европу, Африку и Америку. Атаке подверглись государственные организации, дипломатические офисы и посольства, энергетические и нефтегазовые компании, исследовательские организации, а также политические активисты. Главной целью злоумышленников был сбор ценной информации из зараженных систем, включая различные документы, ключи шифрования, настройки VPN, применяемые для идентификации пользователя на сервере SSH-ключи, а также файлы, используемые программами для обеспечения удаленного доступа к компьютеру.

Согласно результатам проведенного экспертами «Лаборатории Касперского» расследования, кампания шпионажа стартовала в 2007 году, и ее организаторами являются испаноговорящие киберпреступные группы. Анализ выявил, что операция «Маска» активно велась на протяжении пяти лет до января 2014 года — во время проведения исследования управляющие сервера злоумышленников были оперативно свернуты.

Заражение компьютеров жертв происходило при помощи фишинговых писем, содержащих ссылки на вредоносные ресурсы. На этих сайтах располагался ряд эксплойтов, которые в зависимости от конфигурации системы посетителя, использовали различные способы атаки его компьютера. В случае успешной попытки заражения, вредоносный сайт перенаправлял пользователя на безвредный ресурс, который упоминался в письме — это мог быть YouTube или новостной портал.

«Несколько причин заставляют нас думать, что это может быть кампанией, обеспеченной государственной поддержкой. Прежде всего, мы наблюдаем крайне высокий уровень профессионализма в действиях группы, которая обеспечивает мониторинг собственной инфраструктуры, скрывает себя с помощью правил системы разграничения доступа, начисто стирает содержимое журнальных файлов вместо обычного их удаления, а также при необходимости прекращает всякие действия. Такой уровень самозащиты нетипичен для киберпреступников. Все это ставит данную кампанию по уровню сложности даже выше Duqu – можно сказать, это самая сложная угроза такого класса на данный момент», — объяснил Костин Райю (Costin Raiu), руководитель глобального исследовательского центра «Лаборатории Касперского».

Полная версия отчета «Лаборатории Касперского» по итогам расследования новой кибершпионской сети доступна на сайте securelist.com.

Материалы по теме:

Источник:

Постоянный URL: http://servernews.ru/802945
Система Orphus