Перейти к содержанию
AM_Bot

ЛК обнаружила самого сильного игрока в мире Кибершпионажа

Recommended Posts

AM_Bot

images434334%20%282%29.jpgНа протяжении многих лет «Лаборатория Касперского» изучала более 60 различных операций кибершпионажа по всему миру, однако то, что эксперты компании обнаружили совсем недавно, превосходит по своим масштабам, инструментам и эффективности все известные на сегодня вредоносные атаки.

подробнее

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Вадим Волков
После прочтения новости возникло много вопросов. Я, наверное, очень отстал от современных технологий. Или это маркетинговая "пурга"?

 

>>>однажды попав в ОС жесткого диска, зловред остается там навсегда – его невозможно ни обнаружить, ни избавиться от него: он не может быть удален даже в случае форматирования диска.

Если его невозможно обнаружить, то как его нашли в ЛК?

"ни избавиться"  Перепрошить firmware уже не получится?


 

Как после переформатирования диска и переустановки Windows "зловредный" код из firmware перехватывает управление? Опять нужно загрузить червя из инета или флешки?

 


>>>В момент попадания на компьютер, подключенный к Интернету, червь с USB передает все данные на сервер Equation Group.

И каким образом он запустится с USB-носителя? Попросит пользователя включить автозапуск программ?

 

Правильно ли я понимаю, чтобы утащить данные нужно каким-то образом запустить червя на интересующем компьютере, он как-то незаметно для пользователя перезапишет firmware y HDD, будет копить информацию в скрытых секторах и заражать флешки?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Присоединюсь к вопросам. Добавлю еще парочку:

 

Как удалось напасть на след (надоумило смотреть прошивку HDD)? 

 

Остался завуалированным вопрос КАК заражали компы (меняли firmware)? Это делало NSA сразу на заводе или же потом каким-то образом удаленно меняли ПО?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v
Как удалось напасть на след (надоумило смотреть прошивку HDD)?

 

Дык по коду либы вполне видно, что она занимается перепрошивкой hdd.

 

Это делало NSA сразу на заводе или же потом каким-то образом удаленно меняли ПО?

 

 

судя по отчету ЛК - это делалось прям на месте на живых машинах, а не на заводе. (в вредоносе от данной кибергруппировки).

 

 

Попросит пользователя включить автозапуск программ?

 

Там использовались Lnk-экспы и также модификация прошивки флешки.

  • Upvote 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AlexxSun

А на великом и могучем когда будет отчёт? А то влом читать технические тексты на вражеском языке, всё равно всех тонкостей не уловить :)https://securelist.com/files/2015/02/Equation_group_questions_and_answers.pdf

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

Как показывает практика, переводы полных pdf-отчетов на великий и могучий случается не всегда...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×