Записи с меткой «VPN»

Маски сорваны: «Лаборатория Касперского» раскрывает сложнейшую глобальную кампанию кибершпионажа

Posted: Февраль 12, 2014 in Антивирус, Известность, Касперский, Новости, антивирусы, атака, вирусы, компьютеры, поиск, пользователи, программы, Linux, софт, срочно, техника, угрозы, Trojan
Метки:, , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , ,

новости от «Лаборатории Касперского»

https://i2.wp.com/www.e-media66.ru/img/small/kaspersky.jpg

«Лаборатория Касперского» объявила о раскрытии глобальной сети кибершпионажа «Маска», за которой стоят испаноговорящие злоумышленники. Обнаруженные следы указывают на то, что операция ведется как минимум с 2007 года. Ее выделяет сложность арсенала атакующих, который включает в себя ряд крайне изощренных вредоносных программ, разработанных для различных платформ, включая Mac OS X, Linux и, возможно, iOS.

Действия злоумышленников в первую очередь были направлены на государственные организации, дипломатические офисы и посольства, энергетические и нефтегазовые компании, исследовательские организации и политических активистов. По подсчетам «Лаборатории Касперского» жертвами этой таргетированной атаки стали 380 пользователей из 31 стран по всему миру, включая Ближний Восток, Европу, Африку и Америку.

Главной целью атакующих был сбор ценной информации из зараженных систем, включая различные документы, ключи шифрования, настройки VPN, применяемые для идентификации пользователя на сервере SSH-ключи, а также файлы, используемые программами для обеспечения удаленного доступа к компьютеру.

«Несколько причин заставляют нас думать, что это может быть кампанией, обеспеченной государственной поддержкой. Прежде всего, мы наблюдаем крайне высокий уровень профессионализма в действиях группы, которая обеспечивает мониторинг собственной инфраструктуры, скрывает себя с помощью правил системы разграничения доступа, начисто стирает содержимое журнальных файлов вместо обычного их удаления, а также при необходимости прекращает всякие действия. Такой уровень самозащиты нетипичен для киберпреступников. Все это ставит данную кампанию по уровню сложности даже выше Duqu – можно сказать, это самая сложная угроза такого класса на данный момент», – объяснил Костин Райю, руководитель глобального исследовательского центра «Лаборатории Касперского».

Для жертв заражение может обернуться катастрофическими последствиями. Вредоносное ПО перехватывает все коммуникационные каналы и собирает наиболее важную информацию с компьютера пользователя. Обнаружение заражения чрезвычайно сложно из-за доступных в рутките механизмов скрытия и имеющихся дополнительных модулей кибершпионажа. В дополнение к встроенным функциям, злоумышленники могли закачивать на зараженный компьютер модули, позволяющие выполнить набор любых вредоносных действий.

Тщательное исследование показало, что для авторов этих программ испанский является родным языком – этого ранее не наблюдалось в атаках подобного уровня. Анализ показал, что операция «Маска» активно велась на протяжении 5 лет до января 2014 года (а некоторые образцы вредоносного ПО имели дату сборки 2007 года) – во время проведения исследования управляющие сервера злоумышленников были свернуты.

Заражение пользователей происходило через рассылку фишинговых писем, содержащих ссылки на вредоносные ресурсы. На этих сайтах располагался ряд эксплойтов, которые в зависимости от конфигурации системы посетителя, использовали различные способы атаки его компьютера. В случае успешной попытки заражения, вредоносный сайт перенаправлял пользователя на безвредный ресурс, который упоминался в письме – это мог быть YouTube или новостной портал.

Важно отметить, что сами вредоносные сайты не заражали посетителей автоматически в случае прямого обращения по одному только доменному имени. Злоумышленники хранили эксплойты в отдельных каталогах, ссылки на которые присутствовали только в письмах, – проходя именно по ним, пользователь подвергался атаке. Иногда на этих сайтах злоумышленники использовали поддомены, чтобы полные адреса выглядели более правдоподобными. Эти поддомены имитировали разделы популярных испанских газет, а также несколько международных – «The Guardain» и «Washington Post».

На данный момент продукты «Лаборатории Касперского» распознают и удаляют все известные версии программ «Маска». С подробным отчетом, включающим описание работы механизмов и статистику заражения, можно ознакомиться по адресу http://www.securelist.com/en/blog/208216078/The_Careto_Mask_APT_Frequently_Asked_Questions

Реклама

Dr.Web

9 июля 2013 года

21 июня Печерский районный суд города Киева приговорил к пяти годам лишения свободы с отсрочкой на три года организатора и двух участников международной преступной группировки, занимавшейся созданием и распространением вредоносных компьютерных программ семейства Trojan.Carberp в России и на Украине. 19 марта 2013 года деятельность этой группировки была пресечена Службой безопасности Украины в результате спецоперации, проводившейся совместно с ФСБ России. В тот день наручники были надеты на 16 человек, причастных к разработке и распространению одной из опаснейших «банковских» троянских программ последних лет.

Последние два года Trojan.Carberp был настоящим бичом для клиентов дистанционного банковского обслуживания (ДБО) крупнейших российских и украинских банков. Разработанная несколько лет назад в России, эта вредоносная компьютерная программа была центральным элементом мощной преступной инфрастуктуры, созданной для хищения денежных средств как юридических, так и физических лиц. В нее входили разработчики, которые занимались не только совершенствованием самого троянца, но и дополнительных модулей, направленных на атаки против систем ДБО конкретных банков. Несколько тестировщиков следили за корректностью работы троянца параллельно с теми или иными системами ДБО, а также за тем, чтобы новые версии троянца были незаметны для антивирусных программ. Особая роль отводилась системному администратору, в задачу которого, помимо обеспечения безопасного общения членов группы между собой, входило также поддержание рабочей инфраструктуры, обслуживавшей всю ботсеть Trojan.Carberp.

Главари группировки фактически продавали так называемым “партнерам” лицензию на использование троянца и средства управления им (так называемую “админку”). В “админке” накапливалась информация о «зараженных» пользователях, на основе которой принимались решения о “заливах” — то есть о списании денежных средств со счетов жертв на счета так называемых “дропов”, через которые потом деньги либо выводились в подконтрольные преступникам коммерческие фирмы, либо обналичивались. После бесславного конца карьеры одного из “партнеров” группировки — “Гермеса” (он же “Араши”), владельца многомиллионной сети компьютеров-зомби, зараженных троянцем Carberp, арестованного российскими правоохранительными органами в июне 2012 года, интересы главарей группировки стали быстро смещаться из России на Украину. Фактически с августа 2012 года работа против клиентов украинских банков приобрела массовый характер. Кибермошенники, спрятавшись за многочисленными VPN-каналами и используя шифрованные каналы общения, чувствовали себя в полной безопасности, работая против банков той страны, где постоянно находились сами. Не гнушались они и тем, что отслеживали наиболее “интересных” клиентов среди жертв своих “партнеров” и самостоятельно производили хищения с их банковских счетов.

Специалисты антивирусной лаборатории “Доктор Веб” в течение почти двух лет вели кропотливую работу, помогая правоохранительным органам в изобличении преступников. Постоянно исследовались новые образцы опасного троянца, изучались новые векторы атаки злоумышленников. Достаточно сказать, что в настоящее время вирусная база Dr.Web содержит более 1200 разновидностей этой троянской программы. Высокая квалификация специалистов компании позволила разгадать многие инфраструктурные загадки, связанные с Trojan.Carberp, помогла идентифицировать многих участников группировки. Неоднократно специальный отдел “Доктор Веб” взаимодействовал с российскими и украинскими банками с целью предотвращения незаконного вывода похищенных денежных средств.

“В последнее время мы видим усиление притока талантливых молодых программистов в преступную среду, — говорит генеральный директор компании “Доктор Веб” Борис Шаров. — Во многом это объясняется бытующим мнением об относительной безнаказанности тех, кто создает и распространяет вирусы. Кроме того, молодые люди часто становятся жертвами щедрых посулов главарей киберпреступных группировок, соблазняются заманчивыми предложениями, которым на самом деле никогда не суждено сбыться. Все это мы очень наглядно наблюдали в случае с разработчиками Trojan.Carberp. Надеемся, что приговор киевского суда отрезвит многих любителей легкой наживы в киберпространстве. Тем более, что финальный аккорд в этой истории еще не прозвучал, свое слово еще не сказали российские правоохранители, у которых к “карберповцам” едва ли не больше вопросов, чем у их украинских коллег. Киберзло в любых своих формах будет обязательно наказано, мы убеждены в этом”.