Русские хакеры атаковали американские банки

Александр Панасенко 09 Января 2013 - 16:45

...

В прошлую пятницу все клиенты питтсбургского банка PNC получили электронное письмо-уведомление, в котором содержалось описание проблемы, возникшей перед IT-службой банка. По словам представителей PNC, в течение нескольких недель специалисты пытались справиться со взрывным ростом интернет-трафика, проходящего через официальный сайт банка.

В уведомлении содержался комментарий, который описывал эту активность как явную DDoS-атаку. Руководство PNC также провело параллели с другими атаками подобного рода на американские банки, регулярно проводящимися с осени 2012 года. Помимо описания ситуации, в разосланном письме содержалась и подробная инструкция для клиентов, которые столкнулись с проблемами при доступе к онлайн-сервисам банка, сообщают izvestia.ru.

В некоторых американских онлайн-СМИ появились сообщения о том, что атаки подобного рода могли иметь «русский след» — как это было в конце сентября с Bank of America, JPMorgan Chase, Citigroup. Однако в пресс-службе PNC Bank каких-либо разъяснений на этот счет дать не смогли.

— Все, что мы можем комментировать, — значительно возросший трафик на наших интернет-ресурсах, — сообщила «Известиям» Марси Цвибель, вице-президент по внешним коммуникациям PNC Financial Services Group.

На следующий день о схожей кибератаке заявил еще один американский банк. На этот раз жертвой хакеров стал региональный Fifth Third Bank (5/3 Bank), штаб-квартира которого находится в Цинциннати (штат Огайо). Руководство банка в интервью местной газете поспешило заявить, что, по данным внутреннего расследования, источник угрозы находится на Ближнем Востоке. Интересно, что в официальных заявлениях и PNC, и 5/3 Bank содержалась информация о нескольких американских банках, которые подверглись DDoS-атакам в эти дни, однако никаких других подробностей в письмах не содержалось.

— Активность хакеров увеличивается в праздничные дни, в дни, связанные со всякого рода значительными событиями, масштабными мероприятиями. Здесь есть своя логика. Однако мы не можем утверждать, что указанные атаки имеют отношение к этой закономерности, — сообщили нам в российском офисе компании Symantec. — Мы не можем сказать, связаны ли DDoS-атаки на американские банки с российскими хакерами или хакерскими группами.

Стремление некоторых американских изданий переложить ответственность именно на выходцев из России в каком-то смысле естественно — русские хакеры постоянно фигурируют в криминальных сводках. Свежий пример — суд над гражданином РФ Владимиром Здоровениным, обвиняемым в хищении персональных данных клиентов нескольких американских банков. Здоровенин признал свою вину по двум пунктам обвинения из предъявленных девяти. Приговор суда Южного округа Нью-Йорка был оглашен 5 января — киберпреступник получил три года лишения свободы.

Следующая главная новость »

SOC без иллюзий: от выбора технологий к реальной защите - обсудим в эфире AM Live! Регистрируйтесь »

Татьяна Никитина 04 Февраля 2026 - 21:18

Уязвимости программ Домашние пользователи Корпорации

Расширения Chrome могут слить секреты URL через атаку по стороннему каналу

Как оказалось, расширения Chrome можно использовать для слива кодов авторизации, сеансовых ID и других секретов из URL любой открытой вкладки. Никаких специальных разрешений для этого не понадобится, только доступ к declarativeNetRequest API.

Этот механизм, пришедший на смену webRequest API, позволяет расширениям сообщать браузеру, что следует изменить или заблокировать на загружаемой странице (заголовки, реклама, трекеры).

Правила обработки запросов при этом добавляются динамически, а фильтрация осуществляется по регулярным выражениям, соответствующим подмножествам знаков, которые могут присутствовать на определенных позициях в URL.

Исследователь Луан Эррера (Luan Herrera) обнаружил, что блокировку, диктуемую правилами, Chrome производит почти мгновенно, за 10-30 мс, а остальные запросы выполняются дольше (~50-100ms) — из-за сетевых подключений. Эту разницу во времени расширение может использовать для бинарного поиска с целью посимвольного слива URL.

// extensions/browser/api/web_request/extension_web_request_event_router.cc:1117-1127
case DNRRequestAction::Type::BLOCK:
  ClearPendingCallbacks(browser_context, *request);
  DCHECK_EQ(1u, actions.size());
  OnDNRActionMatched(browser_context, *request, action);
  return net::ERR_BLOCKED_BY_CLIENT;

Оракул для подобной тайминг-атаки строится с использованием chrome.tabs.reload для перезагрузки страницы и перехватчика chrome.tabs.onUpdated, помогающего отследить событие status === "complete". Замер времени между reload и завершением загрузки покажет, заблокирован запрос или успешно обработан.

Повторение проверок и бинарного поиска позволяет получить полный URL (с довеском после «?»), затратив на каждый знак строки несколько прогонов. Таким образом, можно незаметно для пользователя украсть включенные приложением в адрес секреты — токены OAuth и сброса пароля, API-ключи, ссылки на контент, закрытый для поисковых систем.

Проверка PoC проводилась на Windows 11 24H2 с использованием Chrome разных версий: