Лаборатория Касперского раскрыла новую сеть кибершпионажа NetTraveler

Лаборатория Касперского раскрыла новую сеть кибершпионажа NetTraveler

«Лаборатория Касперского» объявила о раскрытии новой кибершпионской сети, получившей название NetTraveler и затронувшей более 350 компьютерных систем в 40 странах мира. Атаке подверглись государственные и частные структуры, в том числе правительственные учреждения, посольства, научно-исследовательские центры, военные организации, компании нефтегазового сектора, а также политические активисты. Россия оказалась в числе наиболее пострадавших стран, заняв вторую строчку в рейтинге государств, испытавших на себе наиболее заметные последствия операции NetTraveler.

Согласно результатам расследования, проведенного экспертами «Лаборатории Касперского», кампания шпионажа стартовала еще в 2004 году, однако пик ее пришелся на период с 2010 по 2013 гг. В последнее время в сферу интересов атакующих входили такие отрасли, как освоение космоса, нанотехнологии, энергетика, в том числе ядерная, медицина и телекоммуникации.

Заражение компьютеров жертв происходило при помощи фишинговых писем с вредоносными вложениями, использующими уязвимости в Microsoft Office (CVE-2012-0158 и CVE-2010-3333). Несмотря на то, что компания Microsoft уже выпустила патч обновлений для закрытия этих уязвимостей, они все еще широко распространены и часто используются для таргетированных атак. Названия вложений наглядно демонстрируют целевой характер операции: злоумышленники адаптировали имя документа каждый раз при отправлении его в другую организацию таким образом, чтобы побудить получателя открыть файл.

В процессе расследования эксперты «Лаборатории Касперского» получили журналы доступа с нескольких командно-контрольных серверов NetTraveler, через которые осуществлялась установка дополнительных зловредов на зараженные машины и загружались украденные данные. По оценкам специалистов «Лаборатории Касперского», объем похищенных данных на всех серверах NetTraveler составляет более 22 Гб. Среди них чаще всего встречаются списки системных файлов, записи нажатий клавиш и различные типы документов: PDF, Excel, Word. Кроме того, среди инструментов NetTraveler был обнаружен бэкдор, способный красть и другие типы конфиденциальной информации, в частности описания конфигураций приложений и файлы системы автоматизированного проектирования.

Жертвы операции NetTraveler были обнаружены в 40 странах мира, включая Россию, США, Канаду, Великобританию, Чили, Марокко, Грецию, Бельгию, Австрию, Украину, Литву, Белоруссию, Австралию, Японию, Китай (и ее автономную территорию Гонконг), Монголию, Иран, Турцию, Индию, Пакистан, Южную Корею, Таиланд, Катар, Казахстан, Иорданию и другие.

При сравнении данных, полученных с командно-контрольных серверов NetTraveler и из облачной сети Kaspersky Security Network (KSN), эксперты «Лаборатории Касперского» определили десятку наиболее пострадавших стран. В порядке убывания рейтинг выглядит следующим образом: Монголия, Россия, Индия, Казахстан, Киргизстан, Китай, Таджикистан, Южная Корея, Испания и Германия.

Помимо всего прочего, аналитики «Лаборатории Касперского» обнаружили, что 6 жертв операции NetTraveler ранее пострадали от еще одной кампании кибершпионажа «Красный октябрь», о которой «Лаборатория Касперского» сообщала в январе 2013 года. И хотя прямых связей между организаторами NetTraveler и «Красного октября» найдено не было, тот факт, что одни и те же пользователи становятся мишенями кибершпионов, свидетельствует о том, что они располагают данными, представляющими особую ценность для злоумышленников.

«Временной интервал между раскрытием той или иной кибершпионской сети с каждым разом становится все меньше. Более того, при детальном изучении, мы видим, что разные кампании рано или поздно пересекаются: либо имеют схожие инструменты атак, либо выбирают одних и тех же жертв, как в случае с NetTraveler и «Красным октябрем». Все эти факты говорят о том, что кибершпионаж становится все более «массовым» и в дальнейшем будет только набирать обороты», – рассказывает Виталий Камлюк, ведущий антивирусный эксперт «Лаборатории Касперского».

Троян KitM для Мас использует сертификат Apple Developer ID

Троян KitM для Мас использует сертификат Apple Developer ID

Эксперты антивирусной компании F-Secure сообщили об обнаружении новых видов вредоносного кода KitM, преднаначенного для операционной системы Mac OS X, причем некоторые образцы вредоносной пограммы, как оказалось, были написаны еще в декабре прошлого года.

По словам исследователей, KitM (Kumar in the Mac) также известнен как HackBlack и представляет собой разновидность бэкдора, который делает снимки экрана и передает их на удаленный хакерский сервер. Он также открывает Shell-доступ к зараженному компьютеру, позволяя выполнять на нем разные команды.

Последние обнаруженные образцы вредоносного кода оказались подписанными действительным сертификатом Apple Developer ID, выпущенным компанией Apple для некоего разработчика Rajinder Kumar, а также действующим сертификатом для обхода инструмента безопасности Gatekeeper, присутствующего в Mac OS X Mountain Lion.

Первые два образца вредоносов, выявленные компанией F-Secure, подключались к C&C-серверам в Нидерландах и Румынии. В свою очередь секьюрити-вендор Norman Shark сообщает, что коды KitM применяются для кибершпионской компании Operation Hangover. F-Secure сообщает, что по данным ее анализа, KitM-варианты активно применялись для атак в период с декабря прошлого года по февраль этого года.
Примечательно, что скомпрометиованный сертификат Apple удалила еще на прошлой неделе, однако аннулирование сертификата не поможет тем пользователям, на систему которых вредоносная программа установилась ранее, поскольку инструмент Gatekeeper проверяет сертификат лишь однажды — при первом запуске.

Android-троян похищает SMS-сообщения

Android-троян похищает SMS-сообщения

Эксперты по безопасности компании Dr. Web обнаружили новую вредоносную программу для платформы Android, способную перехватывать входящие SMS-сообщения и перенаправлять их злоумышленникам.

Данный вирус является вторым известным представителем семейства Android.Pincer – обновленное вредоносное ПО распространяется под видом сертификата безопасности, который якобы требуется установить на мобильное Android-устройство.

В случае инсталяции вредоносной программы, Android.Pincer.2.origin отобразит ложное сообщение об успешной установке сертификата, после чего некоторое время будет неактивным.

     

Для того чтобы загружаться с ОС, вирус регистрирует CheckCommandServices — системный сервис, который в дальнейшем работает в качестве фоновой службы.

После удачного включения зараженного мобильного устройства вирус подключается к удаленному серверу злоумышленников и загружает на него ряд сведений о мобильном устройстве, среди которых название модели, серийный номер устройства, IMEI-идентификатор, название используемого оператора связи, номер сотового телефона, язык, использующийся по умолчанию в системе и пр.

Для того чтобы совершить какие-либо действия, программа ожидает SMS-сообщения с текстом «command: [название команды]». В сообщении уже содержатся соответствующие указания. В Dr. Web утверждают, что злоумышленники предусмотрели следующие директивы:

start_sms_forwarding [номер телефона] — начать перехват сообщений с указанного номера;

stop_sms_forwarding — завершить перехват сообщений;

send_sms [номер телефона и текст] — отправить СМС с указанными параметрами;

simple_execute_ussd — выполнить USSD-запрос;

stop_program — прекратить работу;

show_message — вывести сообщение на экран мобильного устройства;

set_urls — изменить адрес управляющего сервера;

ping — отправить СМС с текстом pong на заранее указанный номер;

set_sms_number — изменить номер, на который уходит сообщение с текстом pong.

 

Пугающие подробности о Kinect 2.0

Пугающие подробности о Kinect 2.0

Позавчера компания Microsoft представила новую медиаприставку Xbox One, в комплект которой входит обновленный сенсор Kinect 2.0. Оказывается, этот гаджет вполне достоин отдельной статьи. Стали известны некоторые его технические характеристики, которые могут заставить участиться пульс параноиков.

Кстати, о пульсе. Новый Kinect сможет распознавать выражение лица и сердцебиение геймера. Очевидно, для этого будет использоваться популярный в последнее время метод эйлерова увеличения, который усиливает различия между отдельными кадрами на видео.

Это только начало параноидального кошмара для владельцев Xbox One. Оказывается, видеокамера и микрофон медиаприставки будут постоянно работать в принудительном режиме, в том числе ночью в темноте. Это сделано для того, чтобы приставка могла в любой момент среагировать на команду пользователя. Например, если он во сне взмахнет рукой для включения ТВ или пробормочет голосовую команду.

Нужно заметить, что при этом приставка сохраняет подключение с интернетом. Камера и микрофон работают круглосуточно, приставка постоянно в онлайне, подключена к облачному сервису Xbox Live (300 тысяч серверов для обработки информации) и при этом наблюдает за пользователем, ожидая его команд. Казалось бы, что может пойти не так?

Кстати, компания Microsoft не так давно получила патент на технологию защиты авторских прав при просмотре телепередач и фильмов с помощью Kinect. В соответствии с описанием из патента, приставка сможет блокировать просмотр видео, если перед телевизором собралось слишком много людей, а заплачено только за одного.

По слухам приставка Xbox не будет включаться при отключенном сенсоре Kinect.

Постоянная работа Kinect в фоновом режиме, кстати, вызвала проблемы даже во время презентации Microsoft, когда приставки Xbox 360 в квартирах пользователей неожиданно реагировали на команды Xbox, звучавшие в прямом эфире со сцены.