Pull to refresh
  • by relevance
  • by date
  • by rating

Российские хакеры модифицировали Chrome и Firefox. Они отслеживают шифрованный трафик пользователей

Firefox Information Security *Antivirus protection *Google Chrome Browsers
image

Kaspersky опубликовала отчет о попытках российской группы Turla отследить шифрованный сетевой трафик путем модификации Chrome и Firefox. Как правило, хакеры не вскрывают браузеры за пределами эксплуатации их уязвимостей.

Данный процесс требует заразить компьютер вирусом-трояном Reductor с удаленным доступом, схожим с COMPfun. Тот модифицирует браузеры для перехвата трафика от хоста, начиная с установки собственных сертификатов. Они патчат псевдо-случайный генератор чисел, используемый для безопасных подключений. Это позволяет злоумышленникам добавлять «отпечаток» к каждому TLS-действию и пассивно отслеживать шифрованный трафик.

Издание ZDNet предположило, что хакеры могли пойти на этот ход на случай обнаружения трояна, когда пользователи не переустанавливают зараженный браузер.
Читать дальше →
Total votes 18: ↑15 and ↓3 +12
Views 14K
Comments 2

Security Week 37: Bug-bugzilla, Карбанак из бэк, С&C на рыбалке

«Лаборатория Касперского» corporate blog Information Security *
В новом эпизоде сериала, снятого по мотивам новостей в области информационной безопасности:

— Взлом Bugzilla лишний раз напоминает о том, что пароли должны быть не только сложные, но и уникальные.
— Кампания Carbanak, ответственная за кражу сотен миллионов долларов у финансовых организаций, замечена в Европе и США.
— Исследование «Лаборатории» о том, как перевести командный сервер шпионской кампании с уровня «очень сложно найти» на уровень «ищи ветра в поле»

А также незакрытый telnet в WiFi-дисках Seagate, патчи, рыбалка и музыкальные вирусы из прошлого. Напоминаю правила: каждую неделю редакция новостного сайта Threatpost выбирает три наиболее значимых новости, к которым я добавляю расширенный и беспощадный комментарий. Все эпизоды сериала можно найти тут.
Читать дальше →
Total votes 9: ↑9 and ↓0 +9
Views 7.1K
Comments 8

Киберкампания watering hole от Turla: обновленное расширение для Firefox использует Instagram

ESET NOD32 corporate blog Antivirus protection *
Некоторые схемы АРТ-атак не меняются годами. Например, атаки watering hole в исполнении кибергруппы Turla. Эта группировка специализируется на кибершпионаже, ее основные цели – правительственные и дипломатические учреждения. Схему watering hole хакеры используют для перенаправления потенциальных жертв на свою C&C-инфраструктуру как минимум с 2014 года, иногда внося небольшие изменения в принцип работы.



Мы в ESET следим за кампаниями Turla и недавно обнаружили, что хакеры вернулись к использованию метода, заброшенного на несколько месяцев.

Читать дальше →
Total votes 12: ↑11 and ↓1 +10
Views 4.3K
Comments 1

Gazer: бэкдор второго этапа АРТ-группы Turla

ESET NOD32 corporate blog Antivirus protection *
В ESET выполнили анализ нового, ранее недокументированного бэкдора, который с большой долей вероятности используется АРТ-группой Turla. Бэкдор замечен в атаках на правительственные и дипломатические учреждения в странах Европы. Turla – кибергруппа, которая специализируется на операциях кибершпионажа. Типичные методы хакеров Turla – атаки watering hole и целевой фишинг. Новый бэкдор активно используется как минимум с 2016 года. На основе строк, найденных в изученных образцах, мы назвали его Gazer.



Читать дальше →
Total votes 7: ↑6 and ↓1 +5
Views 3.2K
Comments 2

ESET: бэкдор Mosquito группы Turla используется в Восточной Европе

ESET NOD32 corporate blog Antivirus protection *
Turla – одна из наиболее известных кибергрупп, специализирующихся на шпионаже. В ее арсенале обширный набор инструментов, наиболее продвинутые из которых используются для установки на приоритетные для атакующих машины. Платформа для шпионажа преимущественно ориентирована на Windows, но может использоваться для macOS и Linux с помощью различных бэкдоров и руткита.

Не так давно мы обнаружили новый метод компрометации рабочих станций, который использует Turla. Данная техника применяется в атаках, нацеленных на сотрудников посольств и консульств стран постсоветского пространства.


Читать дальше →
Total votes 10: ↑9 and ↓1 +8
Views 3.2K
Comments 0

Хакерские группы взламывают спутниковые каналы, чтобы замести следы

Information Security *
Плохо защищённые спутниковые каналы связи используются русскоязычными хакерскими группами для маскировки командных серверов во время целевых атак на самых ценных жертв, показало расследование «Лаборатории Касперского». Речь идёт о самых продвинутых хакерских группировках, которые предположительно выполняют заказы государственных спецслужб.

Специалисты обнаружили три разные группировки, использующие спутниковые каналы доступа для маскировки своих кампаний. Самой интересной и необычной из них “ЛК» считает группировку Turla, которую также называют Snake или Uroburos (по названию её первоклассного руткита). Она занимается кибершпионажем уже более восьми лет.

«Сначала мы не могли понять, арендуют ли злоумышленники коммерческие спутниковые интернет-каналы или взламывают интернет-провайдеров и проводят MitM-атаки на уровне маршрутизатора для перехвата потока, — признаются специалисты «ЛК». — Мы проанализировали эти механизмы и пришли к поразительному выводу: метод, используемый группировкой Turla, невероятно прост и прямолинеен. При этом он обеспечивает анонимность, очень дешёвую реализацию и управление».
Читать дальше →
Total votes 14: ↑10 and ↓4 +6
Views 10K
Comments 6

Кибергруппа Turla использует Metasploit в кампании Mosquito

ESET NOD32 corporate blog Antivirus protection *
Turla – известная кибершпионская группировка, действующая не менее десяти лет. Первое упоминание группы датировано 2008 годом и связано с взломом Министерства обороны США. Впоследствии Turla приписывали многочисленные инциденты информационной безопасности – атаки на органы государственного управления и стратегические отрасли, включая оборонную промышленность.



В январе 2018 года мы опубликовали первый отчет о новой кампании Turla по распространению бэкдора Mosquito и индикаторы заражения. Кампания все еще активна; злоумышленники сменили тактику, чтобы избежать обнаружения.

С марта 2018 года мы наблюдаем значительные изменения в этой кампании – теперь Turla использует для распространения Mosquito фреймворк с открытым исходным кодом Metasploit. Это не первый случай, когда Turla отказывается от собственных инструментов – ранее мы видели использование утилит для извлечения учетных данных (Mimikatz). Но здесь примечательно, что Turla впервые использует Metasploit как бэкдор первого этапа атаки вместо своих разработок, таких как Skipper.

Читать дальше →
Total votes 5: ↑4 and ↓1 +3
Views 2.1K
Comments 1

Анализ Outlook-бэкдора кибергруппы Turla

ESET NOD32 corporate blog Antivirus protection *

Turla (Snake, Uroboros) – кибершпионская группа, получившая известность в 2008 году после взлома защищенных объектов, включая сеть Центрального командования ВС США. С тех пор специализируется на атаках на военные объекты и дипломатические ведомства по всему миру. Среди известных жертв – Министерство иностранных дел Финляндии в 2013 году, швейцарская оборонная корпорация RUAG в период с 2014 по 2016 гг. и правительство Германии в конце 2017 – начале 2018 гг.


После последнего инцидента несколько СМИ опубликовали информацию о методах атакующих – использовании вложений электронной почты для управления вредоносной программой и передачи украденных данных из системы. Тем не менее, технической информации о бэкдоре представлено не было. В этом отчете мы публикуем результаты анализа бэкдора Turla, который управлялся с помощью PDF-вложений в электронной почте.


Читать дальше →
Total votes 5: ↑5 and ↓0 +5
Views 2.7K
Comments 1