Перейти к содержанию
AM_Bot

ЛК обнаружила самого сильного игрока в мире Кибершпионажа

Recommended Posts

AM_Bot

images434334%20%282%29.jpgНа протяжении многих лет «Лаборатория Касперского» изучала более 60 различных операций кибершпионажа по всему миру, однако то, что эксперты компании обнаружили совсем недавно, превосходит по своим масштабам, инструментам и эффективности все известные на сегодня вредоносные атаки.

подробнее

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Вадим Волков
После прочтения новости возникло много вопросов. Я, наверное, очень отстал от современных технологий. Или это маркетинговая "пурга"?

 

>>>однажды попав в ОС жесткого диска, зловред остается там навсегда – его невозможно ни обнаружить, ни избавиться от него: он не может быть удален даже в случае форматирования диска.

Если его невозможно обнаружить, то как его нашли в ЛК?

"ни избавиться"  Перепрошить firmware уже не получится?


 

Как после переформатирования диска и переустановки Windows "зловредный" код из firmware перехватывает управление? Опять нужно загрузить червя из инета или флешки?

 


>>>В момент попадания на компьютер, подключенный к Интернету, червь с USB передает все данные на сервер Equation Group.

И каким образом он запустится с USB-носителя? Попросит пользователя включить автозапуск программ?

 

Правильно ли я понимаю, чтобы утащить данные нужно каким-то образом запустить червя на интересующем компьютере, он как-то незаметно для пользователя перезапишет firmware y HDD, будет копить информацию в скрытых секторах и заражать флешки?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Присоединюсь к вопросам. Добавлю еще парочку:

 

Как удалось напасть на след (надоумило смотреть прошивку HDD)? 

 

Остался завуалированным вопрос КАК заражали компы (меняли firmware)? Это делало NSA сразу на заводе или же потом каким-то образом удаленно меняли ПО?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v
Как удалось напасть на след (надоумило смотреть прошивку HDD)?

 

Дык по коду либы вполне видно, что она занимается перепрошивкой hdd.

 

Это делало NSA сразу на заводе или же потом каким-то образом удаленно меняли ПО?

 

 

судя по отчету ЛК - это делалось прям на месте на живых машинах, а не на заводе. (в вредоносе от данной кибергруппировки).

 

 

Попросит пользователя включить автозапуск программ?

 

Там использовались Lnk-экспы и также модификация прошивки флешки.

  • Upvote 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AlexxSun

А на великом и могучем когда будет отчёт? А то влом читать технические тексты на вражеском языке, всё равно всех тонкостей не уловить :)https://securelist.com/files/2015/02/Equation_group_questions_and_answers.pdf

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

Как показывает практика, переводы полных pdf-отчетов на великий и могучий случается не всегда...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
      Домашние антивирусы для macOS были обновлены до версии 7.3.3700.
    • demkd
      ---------------------------------------------------------
       4.14
      ---------------------------------------------------------
       o Исправлена критическая ошибка при разборе параметров в файлах задач.
         Из-за ошибки uVS мог аварийно завершится без создания дампа.  o Каталог по умолчанию теперь каталог Windows.
         (Для окон выбора каталога).
    • PR55.RP55
      NVIDIA Power Management - приложение с открытым исходным кодом... Для управления настройками электропитания приложение использует System Management Interface. Это утилита командной строки NVIDIA, которая позволяет запрашивать и изменять состояния видеокарт. Инструмент поддерживает графические процессоры NVIDIA Tesla, GRID, Quadro и Titan X, а также может работать с ограничениями с другими видеокартами NVIDIA. NVIDIA Power Management имеет графический интерфейс. Пользователям доступны создание ограничений мощности для отдельных приложений, создание профилей мощности для нескольких приложений, базовый мониторинг производительности, адаптивное энергопотребление и другие функции. https://www.comss.ru/page.php?id=11792 Фактически это не только позволит получать информацию и вести мониторинг. Но и добавить в меню\скрипт uVS новые команды.        
    • PR55.RP55
      Руководство по расследованию атак с использованием CVE-2022-21894 BlackLotus campaign https://www.microsoft.com/en-us/security/blog/2023/04/11/guidance-for-investigating-attacks-using-cve-2022-21894-the-blacklotus-campaign/    
    • PR55.RP55
      Думаю стоит добавить твик: [HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\Wintrust\Config] "EnableCertPaddingCheck"="1" [HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Cryptography\Wintrust\Config] "EnableCertPaddingCheck"="1" ------------------- https://www.comss.ru/page.php?id=11668 Бывают всякие непонятные неясные случаи - возможно это в ряде случаев поможет.
×