company_banner

Узбекские государственные «боевые хакеры» пострадали от антивируса Касперского

    Кибервоенное подразделение службы государственной безопасности Узбекистана занимается, в том числе, разработкой боевых троянов и вирусов. Самую высокотехнологичную и трудоёмкую их часть — уязвимости нулевого дня — боевые хакеры покупали на открытом рынке. На основе уязвимостей пишутся эксплойты и интегрируются в собственное ПО.

    Но на компьютерах разработчиков был установлен антивирус Касперского. Он, разумеется, успешно обнаруживал подозрительные куски кода и отправлял их в базу. Эффективность понесённых на покупку уязвимостей затрат не подлежит, таким образом, сомнению (сарказм).

    Дальше — больше: появление такого количество уязвимостей нулевого дня примерно из одного источника заинтересовало спецов «Лаборатории Касперского». Они провели исследование, в результате которого было выяснено: ip-адреса машин, с которых приходят образцы, имеют адреса в домене itt.uz, который зарегистрирован на военную часть 02616 из Ташкента.

    Доклад о деятельности узбекской киберразведки исследователь «Лаборатории Касперского» Брайан Бартоломью представил сегодня на конференции Virus Bulletin в Лондоне. Подробности — www.vice.com/en_us/article/3kx5y3/uzbekistan-hacking-operations-uncovered-due-to-spectacularly-bad-opsec
    ITSumma
    248,71
    Собираем безумных людей и вместе спасаем интернет
    Поделиться публикацией

    Комментарии 54

      +6
      Даже не знаю для кого это минус…
      Для Кашмарского, который сливает данные.
      Или для спецслужб, которые пользовались Кашмарским.
        +13
        Для Брайана Бартоломью (и/или его начальства). Раскрыли источник данных, которым могли бы пользоваться долгие годы. Предупредили другие «источники данных». Нанесли своей конторе очередной ущерб.
          0
          Раскрыли источник данных, которым могли бы пользоваться долгие годы

          Я тоже про это подумал, но это надо быть совсем не умным, чтобы слить первоначальный источник получения зловредов. Вроде Кашмарский не первый день на рынке.
            0
            а может что за «не первый день на рынке» они реально такое видят впервые
            и обычно группировки отключают отправку отчётов в К
          +1

          По сути это произошел слив информации, которую "никто никогда не узнает от нас". Это Касперскому минус. Делать противодействие могли, а озвучивать нет.

            +1
            Вполне возможно, что источник уже перестал присылать информацию, вот Касперский и решил попиариться…
          +1
          — Шавкат, слушай, дело есть.
          — Что такое, дорогой?
          — Компанию отмыть надо, обижают, поможешь?
          — Присылай инструкцию, Владимир.

          З.Ы. Фейк. Даже дурак не будет ставить касперского на тот компьютер, на котором разрабатывается вирус.
            +3
            Начальству виднее
              +8
              Я тоже так думаю, что боевым хакером там на самом деле был какой-то скучающий узбекский студент, который «покупал» свежайшие эксплойты бесплатно где-то на профильных форумах (ибо что ещё делать, если сидишь в армейке, есть компьютер, но за игры ротный башку открутит).
                +2

                А если бы у студента был TOR, хакером стал бы какой-нибудь Богатов ;)

                  0
                  Не бедный «студент» в военной части…
                    0
                    Судя по тому что это компы из ВЧ — это был скучающий призывник. А так как приказы не обсуждаются то даже если он и понимал бессмысленность своих действий вряд ли что-то моз изменить даже если бы захотел (а призывник прослуживший дольше недели очень маловероятно что будет хотеть что-то исправлять и добавлять себе работы на ровном месте).
                      0

                      В армию вас надо бы, что бы хотя бы призывника от военнослужащего могли отличить)

                        0
                        Да был я в армии. Просто не вижу смысла в бытовом разговоре в бюрократию ударяться. И никакого пиетета к армейским словечкам и порядкам не питаю.
                    +1
                    Ох, никогда вы с военными не работали
                      0
                      Какой то слабый аргумент habr.com/ru/news/t/467235
                      Проблема началась с того, что некий сотрудник АНБ работал на своем ПК с установленным антивирусом «Касперского». Последний среагировал на факт наличия тестируемой сотрудником зловредной программы и загрузил ее в Kaspersky Security Network (KSN). Таким образом, секретная информация отправилась на сервера «Лаборатории Касперского».
                      +1

                      Мда. Могли бы тихонько тащить бесплатные 0day для корешей в ФСБ, а вместо этого еще раз подтвердили статус пылесоса.


                      Особенно это порадовало:


                      allowing Kaspersky to detect and grab malicious code still in development before it’s deployed; and embedding a screenshot of one of its developer’s machines in a test file,

                      Даже скриншот стянули, видимо он слишком вредоносным оказался....

                        +8
                        То что там еще и скриншот присутствует, явно указывает на то, что это вброс. Я очень сомневаюсь в том, чтобы сотрудник конторы в Лондоне не спросил разрешения у своего начальства на публикацию, т.к. эти разведданные принадлежат конторе. А местное начальство не может влезать в политические игры без ведома московского штаба. С учетом происхождения компании это именно политические игры. Ну а московский штаб пообщались бы сначала с нужными людьми и скорее всего дело было замято.

                        Нет, имхо. все было не так. Касперского обвинили в сотрудничестве с ФСБ и прищемили пальцы. Что делать в такой ситуации, как обелить компанию? И наши чекисты придумали схему. Шафкат согласился помочь. Ничего не подозревающему сотруднику в Лондоне интересная информация пришла совершенно неслучайно и начальство подтвердило, что информация может быть опубликована. В итоге должен был быть сделан вывод «Касперский — против использования вирусов спецслужбами и вообще за все хорошее, против всего плохого». Не то чтобы сразу обелили, но гирьку на весы положили.
                          +1
                          Вы смотрите слишком много шпионских фильмов и видите коварный план там, где присутствует простая человеческая глупость
                            0
                            Тотальное засилие человеческой глупости не исключает существования хитрых планов. И некоторая часть из них — успешная.
                        +2
                        Как-то в глубокой юности хотел я слегка захакереть — поизучать, как вирусы устроены изнутри. Пошёл к папе на работу, где был интернет, и бережливо, осторожно и внимательно накачал себе полный диск самых разных вирусов. Чин по чину, в архивчиках, с описаниями какими-то.
                        Принёс домой, заботливо уложил свою смертоносную добычу в отдельную директорию, обозначил опасность… и со спокойной душой занимался дальше своими делами.
                        А папа в очередной раз решил планово проверить домашний компьютер антивирусом. Когда он наткнулся на первый вирус в закачанных мной файлах, он не очень-то расстроился, легко его вылечив. Когда наткнулся на десятый, брови недоумённо поползли вверх — надо же, на работе ведь тот же Касперский, где сын так их нахватал-то? Где-то на третьем десятке вылеченных за последние 5 минут зловредов, у папы начали возникать смутные подозрения, что чего-то в этой жизни он, вероятно, не понимает. Решив поинтересоваться, где же эти все вирусы лежали, папа наткнулся на… каталог «Скачано-ВИРУСЫ-не-трогать».
                        Всего там их была 81 штука. Оставшиеся вирусы были пощажены оценившим красоту моей идеи папой — но коллекция уже была безнадёжно испорчена.
                        Так я и не стал хакером. А вирусы, наверное, так до сих пор и хранятся где-то на архивных дисках. Интересно, что-то из них до сих пор опасно?
                          0

                          Я тоже как-то не стал хакером. Осваивая ассемблер, вешал обработчики на прерывания, слушал и писал в порты, писал напрямую в видеопамять, научился заражать com и exe файлы (был заказ на защиту БД от копирования), шифровал исполняемый код, обнаруживал работу отладчика. Но Касперский не узнал про меня )))

                            +1
                            Это наверняка потому, что в то время, когда заражение COM-файлов было ещё актуальным, КасперскиЛаб ещё не существовало в природе. Лечились ДрВебом и AIDSTESTом
                              +2
                              Когда заражение .COM-файлов было актуальным, антивирус Касперского назывался Antiviral Toolkit Pro:
                              image
                              0
                              Мы в школе такое писали для шуток друг над другом — резиденты, тихо заражающие boot/com/exe и ждущие момента, чтобы что-то проскрежетать в динамик или вывести на экран. Поскольку в то время в классе стояли PS/1 IBM с дисководами — простора было много. Из вспомнившихся фишечек — бесфайловый вирус, заражающий бут-сектор и переформатирующий дискету с сохранением данных, но добавляющий при этом лишние сектора на первые дорожки, куда и сохранял основную часть себя.
                                0
                                Еще есть такое (мало кто знает) — размер сектора (в те времена) на самом деле 514 байт — 512 + CRC(WORD). Так пользуясь низкоуровневыми прерываниями можно писать свои данные в эту область. Этот прием я использовал для защиты дисков от копирования стандартными средствами (при при чтении сектора была ошибка CRC). Можно было как вирусы пометить сектора как bad и там спрятать то, что не скопируется, но кажется при diskcopy это не помогало.
                                  0
                                  Как читать сектора с ошибкой CRC, понятно — контроллер их ведь все равно читает, только флаг ошибки задирает. Игнорируем флаг, ну и вуаля. А вот как вы их писали-то? CRC сектора (ну точнее даже не CRC, а контрольную сумму) контроллер дисковода ведь сам добивает автоматически, программно это недоступно ни на каком уровне, насколько я помню.
                                    0
                                    Плохо помню, стал смотреть, похоже использовал INT 13h с функциями 0aH — длинное чтение и 0bH — длинная запись. И там не CRC, а ECC(DWORD):
                                    INT 13h
                                    -----------------------------------------------------
                                    0aH ¦AT¦ ¦XT¦ чтение длинное: 512 байт + 4-байтовый ECC (код коррекции ошибок).
                                    вход: (как для подф. 02H)
                                    выход: Carry-флаг=1 при ошибке и код ошибки диска в AH.
                                    ES:BX => в буфере (данные сектора + 4 байта) * число секторов (из AL)
                                    -----------------------------------------------------
                                    0bH ¦AT¦ ¦XT¦ запись длинная. Пишет 512 байт + 4-байтовый ECC.
                                    вход: (как для подф. 02H)
                                    ES:BX => буфер содержит данные сектора + 4 байта на каждый сектор
                                    выход: Carry-флаг=1 при ошибке и код ошибки диска в AH.
                                      0
                                      Да наверное нет, эти функции работают только с жестким диском
                                        0
                                        Да, с флоппиками это не работает. Скорее даже использовал этот прием для защиты от копирования с жесткого диска, а для дискет что-то другое использовал. Около 30 лет поди прошло )
                              0
                              Интересно, что-то из них до сих пор опасно?

                              Если иметь дырявый антивирус и отключить файловый монитор (сигнатурный), то я себе смог покоцать на харде MBR. Пришлось потом сканировать на структуру файлов, ну и Винду переставил (может как-то вышло бы восстановить загрузку, но не напрягся).
                              Было это что ли в 2015 году на Win 7. И конечно сидел под админом, тестил вирусы.
                              0
                              Прямо как в поговорке — "Любила жаба гадюку, пока та дремала"
                                0
                                Касперский и есть самый главный троян. В частных компаниях его не ставят потому что тырит, в гос потому что дорого.
                                  0
                                  Да прям. Бытовой кис конечно троян, который все сливает.
                                  А корпоративные по другому работают, даже в интернет сами не ходят, а обновы получают из центра управления.
                                    0
                                    KSN (Kaspersky Security Network) обычно включен по умолчанию, так что подозрительные файлы таки отправляет
                                      0
                                      Правда в плохом случае детект «известная по KSN фигня» превратится через какое-то время в абстрактный «HEUR:...».
                                      Ах да, это я именно трояны тестил с KVRT древностью до месяца.
                                    0
                                    В госах только и видел, что каспера. В частных так же ставят. То, что люди не могут прочитать тоненький мануал, где рассказано про KSN, это их проблемы) Да и в настройках он почти на поверхности лежит. Оставлять все «по-дефолту», если работаешь с важными данными, глупо, это к любому антивирусу применимо, надо хоть немного настройки изучить
                                    +2

                                    Тут столько комментариев, что Каспер потерял источники данных, как будто лаборатория сама не лезет за инфой на чёрный рынок

                                      +1
                                      В эту историю хоть один человек поверил? Если да, то кто эти наивные люди?
                                        0
                                        А почему бы, собственно, и нет? Баек про ИТ с реальной основой — пруд пруди.
                                        0
                                        Вполне реальная история, особенно если смотреть из Узбекистана. Границ раздолбайству нет, да и слишком много совпадений, чтобы быть просто вбросом. Тем более, такой вброс ниразу не обеляет Касперского, т.к. прямо подтверждает все опасения и обвинения, в том, что нет какой приватности.
                                          0
                                          Собственно, это никак К. и не очерняет, если я правильно понимаю принцип действия. То есть, телеметрия была включена явным образом (ну там по дефолту, или чьими-то шаловливыми ручками). И наверняка в соглашении с пользователем где-то рядом с кнопкой «так точно!» написано, что К. имеет право использовать эти данные по своему усмотрению.

                                          Или я ошибаюсь?
                                            0
                                            Очерняет. Сейчас такие пользовательские соглашения не в моде, сейчас все хотят, чтобы использование данных четко было прописано.
                                              0
                                              Да оно вполне четко там прописано. В самих настройках в соответствующем разделе что-то вроде этого и пишется
                                          +1
                                          Привет! Я — узбекский вирус.
                                          Пожалуйста, зашифруйте у себя несколько важных файлов и удалите приватный ключ.
                                          Спасибо.
                                            0
                                            Задолго до распространения Интернета школьники массово посылали друг другу «письма счастья», которые по сути были теми же самыми вирусами (неконтролируемое размножение плюс возможная вредоносная нагрузка). Через Интернет это, скорее всего, делается ничуть не сложнее.
                                            «Перешлите это сообщение трём своим контактам и удалите папку windows, иначе ваша мама умрёт в страшных мучениях».
                                              0
                                              Маме знакомая в Вотсап такое прислала…
                                                +1

                                                В докомпьютерную такие письма в бумажную почту приходили

                                                +1
                                                Да, только вирус был не для компьютера, а для мозга. Сети были лишь средством распространения. «Письма счастья» существовали еще до распространения телекоммуникаций.
                                                  0
                                                  Главное — на них не отвечать :)
                                                    0
                                                    Нельзя. Там же написано, что если не перешлёте, то помрёте, или там любимый хомяк сдохнет. А вдруг правда?
                                                      0
                                                      Это не проблема, если Вы — экспериментатор
                                                +1
                                                Привет! Я — узбекский троянец антивирус. Пришлите мне в телеграм несколько файлов для проверки.
                                                +1

                                                Будни настоящих боевых хакеров:
                                                http://www.world-art.ru/animation/animation.php?id=958

                                                Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                                Самое читаемое