ragequit Feb 8 2017 at 13:28

МВД задержало авторов банковского трояна Lurk

2 min

14K

Finance in IT

+20

Comments 31

scronheim Feb 8 2017 at 13:41

Хром уже давно не дает качать с офф сайта ammy

blackswanny Feb 8 2017 at 19:27

Почему хром. Скорее IE, или Яндекс.Стринги тоже в тренде.
А вообще странно, я думал подобное ammyy используют обычные юзеры, а не банки. Где был ammyy, когда их сайт взломали, и как запустили PHP на машине пользователя

RiseOfDeath Feb 8 2017 at 14:26

Чет какой-то заголовок не правильный. Надо было написать "МВД задержало авторов Лурка". :)

vopper Feb 8 2017 at 14:28

Самое интересное, как поймали и на чем прокололись

Saffron Feb 8 2017 at 21:18

Не расскажут. Будет «официальная» версия, как с автором шёлкового пути.

Надеюсь, похищенные деньги уже не вернуть. Чтобы был хоть какой-то стимул развивать безопасность технологий, а не свистелки и перделки.

Kehit Feb 8 2017 at 14:28

почему эти люди всегда остаются/возвращаются в страны, в которых они «нагадили»?

romario_de Feb 8 2017 at 15:25

преступник всегда возвращается на место преступления?

TicSo Feb 8 2017 at 18:30

или нужно правильно списать

более 1,7 млрд рублей

smarkelov Feb 8 2017 at 16:51

1,7 млрд. слили и сидели дома?! Что-то я не понимаю в этой жизни.

UFO just landed and posted this here

evgenij_byvshev Feb 8 2017 at 18:30

Пожадничали вот и попались

justhabrauser Feb 8 2017 at 19:11

> Проверкой занимался модифицированный php-скрипт на сервере Ammyy Group
Или пруфы — или к Ализару и SLY_G присоединится еще и ragequit.

Andrusha Feb 8 2017 at 19:40

Про это ещё в прошлом году писали. Вот, например.

justhabrauser Feb 8 2017 at 19:48

1. Это было в прошлом году
2. «Kaspersky Lab researchers say» не сильно отличается от «Одна Бабка Сказала».

Andrusha Feb 8 2017 at 19:54

1. Ну да, видимо, новых версий не появилось.
2. Очевидно, что Kaspersky Lab занимались проблемой, они и сказали.

justhabrauser Feb 8 2017 at 20:05

2. Кхм… А при чем «Kaspersky Lab занимались проблемой,» к «модифицированный php-скрипт на сервере Ammyy Group»?
Kaspersky Lab != Ammyy Group.

Алегараж… Читать нельзя писать.

Andrusha Feb 8 2017 at 20:17

Ээээ, ну как вам сказать. Вы же в курсе, что Kaspersky Lab не только антивирусы пишут, а занимаются кибербезопасностью в целом?

justhabrauser Feb 8 2017 at 20:25

Внимательнее, пожалуста:
> php-скрипт на сервере Ammyy Group

Или в AMMYY Group специальный php — или Вы слишком быстро читать нельзя писать.

ЗЫ. ну или только-что касперский купил амми.

Andrusha Feb 8 2017 at 20:30

Представители преступной группы использовали специальный алгоритм проверки принадлежности зараженного компьютера корпоративной сети. Проверкой занимался модифицированный php-скрипт на сервере Ammyy Group.

Вот я прочитал ещё раз, и что тут не так? Злоумышленники залили скрипт, спецы из Касперского его нашли. По-моему, это вы что-то не то читаете, или не так.

justhabrauser Feb 8 2017 at 20:45

> Вот я прочитал ещё раз, и что тут не так
Вы не прочитайте, а попробуйте найти «php-скрипт» на сайте (особенно, если его там нет).
А тем более — залить туда свой скрипт.

PS. рукалицо > куда мир катится?

Andrusha Feb 8 2017 at 20:54

А вы можете свою мысль целиком в одном комментарии сформулировать? Пока выходит, что вы либо не можете найти тот самый скрипт на сайте (после того как его нашли специалисты из Касперского. Действительно странно, куда же он делся?), либо считаете, что на веб-сервере у AMMYY статичный сайт на HTML.

MacIn Feb 8 2017 at 23:50

Внимательнее, пожалуста:
> php-скрипт на сервере Ammyy Group

Так. И?

Или в AMMYY Group специальный php

Как это связано с фразой «php-скрипт на сервере Ammyy Group»?

justhabrauser Feb 9 2017 at 22:01

Объясняю:
* Если веб-сервер Ammyy Group нормально сконфигурирован — _невозможно_ не только добраться до php-скриптов, но и вообще определить, что там работает php.
Снаружи невозможно.
* А если у Kaspersky Lab есть доступ к сырцам веб-сайта Ammyy Group — пруфы на базу, плиз.

А писать можно что угодно:
— мой сосед говорит, что по 8 раз за ночь!
— ну так и вы говорите, что мешает?..

-1

Andrusha Feb 9 2017 at 23:26

Ага, а если винда нормально сконфигурирована, и сидит за ней квалифицированный оператор ПК, то заразить её вирусом невозможно. Кажется, мы с вами придумали способ, как уничтожить индустрию кибербезопасности, дело за малым — построить этот идеальный мир. У нас, к сожалению, на данный момент всякие крутые хакеры определяют наличие PHP и ломают сайты контор куда покруче, чем разработчиков не особо популярного российского аналога TeamViewer.

* А если у Kaspersky Lab есть доступ к сырцам веб-сайта Ammyy Group — пруфы на базу, плиз.

А пруфы на то, что в процессе исследования специалисты Kaspersky Lab пользовались компьютером, вам не нужны? Не, я не спорю, что может быть у Касперского настолько суровые спецы, которые проделали все действия злоумышленников и повторно ломанули несчастный веб-сервер, но бритва Оккама кагбэ говорит нам, что если они пишут, что связывались с Ammyy, то те вероятнее всего сами предоставляли им доступ к серверу. Отсутствие в новостях опровержений того пресс-релиза со стороны Ammyy говорит нам, что видимо всё так и было.

pnetmon Feb 8 2017 at 19:50

Да тут у них кажется редакторов стало мало… прям на новостной сайт начинает походить.

Тут

О банковском трояне Lurk стало широко известно в 2016 году. По одной из версий распространялся троян через атаки на официальные сайты банков или через фишинг на специализированных ресурсах и финансовых форумах, которые посещали сотрудники банков.

И что писали http://www.kommersant.ru/doc/3053357

Первый вариант заключался в распространении через профильные сайты — бухгалтерские форумы и специализированные новостные сайты скрытых ссылок на файлы с вирусом. Второй путь заключался в использовании взломанных сайтов, в частности, крупной компании Ammyy (на ее сайте в качестве клиентов указаны МВД РФ, "Почта России", система правовой информации "Гарант").

http://www.kommersant.ru/doc/3053357
02.08.2016

По версии следствия, они внедряли троянскую программу Lurk через средства удаленного управления компьютерами Ammyy Admin. Как следует из специального отчета "Лаборатории Касперского" (компания совместно со специалистами Сбербанка оказывала экспертную поддержку следственным органам по данному делу)…
"Как оказалось, размещенный на официальном сайте установщик программы Ammyy Admin не имел цифровой подписи и представлял собой троянец-дроппер. После его запуска во временном каталоге создавались и запускались на исполнение два файла: установщик утилиты и вредоносная программа-шпион Trojan-Spy.Win32.Lurk. Кроме того, злоумышленники модифицировали php-скрипт на веб-сервере Ammyy Group таким образом, чтобы при попытке скачать программу администрирования вирус проверял, является ли заражаемый компьютер частью корпоративной сети и если да, то запускал помимо собственно самой утилиты и вредоносную программу Lurk.

justhabrauser Feb 8 2017 at 19:57

Кино и немцы:
> установщик программы Ammyy Admin не имел цифровой подписи
Цифровой подписи _кого_?
Вы давно устанавливали сертификат тензора, калуга-астрал или иного росаудита, как корневого доверенного?

-1

ragequit Feb 9 2017 at 00:10

У вас какие-то проблемы с переходом по ссылкам в тексте? Это называется источники, которые вы можете сами проверить, чем и рекомендую заняться.

/thread

pnetmon Feb 9 2017 at 05:50

Текст не соответствует источникам — и это называют проблемой читателя. Да, Проблема.
Как и просто когда собирают из разных статей в кучу так что получается расхождения в тексте.

-2

blackswanny Feb 8 2017 at 19:30

Если правда, то борьба с "вражеским" небезопасным ПО бессмысленна, когда главное зло не в этом

Vnuchok Feb 8 2017 at 20:19

Это так решили уютненький подставить? Или я не так понял?

Mr_Franke Feb 9 2017 at 00:08

> Проверкой занимался модифицированный php-скрипт на сервере Ammyy Group.
[irony]шах и мат тем кто утверждает что php годится только для сайтов на wordpress [/irony]