Перейти к содержанию
AM_Bot

ЛК обнаружила самого сильного игрока в мире Кибершпионажа

Автор AM_Bot, в Общий форум по информационной безопасности

Recommended Posts

AM_Bot    48

AM_Bot
Опубликовано

images434334%20%282%29.jpgНа протяжении многих лет «Лаборатория Касперского» изучала более 60 различных операций кибершпионажа по всему миру, однако то, что эксперты компании обнаружили совсем недавно, превосходит по своим масштабам, инструментам и эффективности все известные на сегодня вредоносные атаки.

подробнее

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Вадим Волков    176

Вадим Волков
Опубликовано
После прочтения новости возникло много вопросов. Я, наверное, очень отстал от современных технологий. Или это маркетинговая "пурга"?

 

>>>однажды попав в ОС жесткого диска, зловред остается там навсегда – его невозможно ни обнаружить, ни избавиться от него: он не может быть удален даже в случае форматирования диска.

Если его невозможно обнаружить, то как его нашли в ЛК?

"ни избавиться"  Перепрошить firmware уже не получится?


 

Как после переформатирования диска и переустановки Windows "зловредный" код из firmware перехватывает управление? Опять нужно загрузить червя из инета или флешки?

 


>>>В момент попадания на компьютер, подключенный к Интернету, червь с USB передает все данные на сервер Equation Group.

И каким образом он запустится с USB-носителя? Попросит пользователя включить автозапуск программ?

 

Правильно ли я понимаю, чтобы утащить данные нужно каким-то образом запустить червя на интересующем компьютере, он как-то незаметно для пользователя перезапишет firmware y HDD, будет копить информацию в скрытых секторах и заражать флешки?

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Сергей Ильин    1538

Сергей Ильин
Опубликовано

Присоединюсь к вопросам. Добавлю еще парочку:

 

Как удалось напасть на след (надоумило смотреть прошивку HDD)? 

 

Остался завуалированным вопрос КАК заражали компы (меняли firmware)? Это делало NSA сразу на заводе или же потом каким-то образом удаленно меняли ПО?

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

priv8v    960

priv8v
Опубликовано
Как удалось напасть на след (надоумило смотреть прошивку HDD)?

 

Дык по коду либы вполне видно, что она занимается перепрошивкой hdd.

 

Это делало NSA сразу на заводе или же потом каким-то образом удаленно меняли ПО?

 

 

судя по отчету ЛК - это делалось прям на месте на живых машинах, а не на заводе. (в вредоносе от данной кибергруппировки).

 

 

Попросит пользователя включить автозапуск программ?

 

Там использовались Lnk-экспы и также модификация прошивки флешки.

  • Upvote 1

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

AlexxSun    150

AlexxSun
Опубликовано

А на великом и могучем когда будет отчёт? А то влом читать технические тексты на вражеском языке, всё равно всех тонкостей не уловить :)https://securelist.com/files/2015/02/Equation_group_questions_and_answers.pdf

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

priv8v    960

priv8v
Опубликовано

Как показывает практика, переводы полных pdf-отчетов на великий и могучий случается не всегда...

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты
Перейти к списку тем Общий форум по информационной безопасности

  • Сообщения

    • demkd
      uVS - Тестирование

      От demkd · Опубликовано

      прогресс теперь графически отображается на плашке окна, проценты в заголовке больше не нужны, убрано все лишнее что влияло на производительность. Если нет реестра это проблема и с ней надо разбираться, а если есть то он подключен и анализируется.
        что значит поиском по эцп? по имени подписавшего файл или по сертификату или по хэшу сертификата.
        В прошлых версиях оно выводилось в 2х кодировках последовательно, что просто забивало лог мусором,  причем в разных системах правильная кодировка своя я опрометчиво решил, что нашел способ выбирать правильную, но оказывается в 7ке все не так как в младших и старших системах, придется для нее прописывать кодировку отдельно.
    • PR55.RP55
      uVS - Тестирование

      От PR55.RP55 · Опубликовано

      + uVS v4.99.0v x64 [http://dsrt.dyndns.org:8888]: Windows 7 Home Basic x64 (NT v6.1 SP1) build 7601 Service Pack 1 [C:\WINDOWS] В прошлых версиях - всё читается нормально.
    • PR55.RP55
      uVS - Тестирование

      От PR55.RP55 · Опубликовано

      1. По поводу реестра - важнее, что было найдено. Если реестра\копии нет... 2. Проценты те, что были в прошлых версиях при массовой проверке на V.T. https://forum.esetnod32.ru/bitrix/components/bitrix/forum.interface/show_file.php?fid=129963&width=500&height=500 3. Например есть файл подписанный некой ЭЦП. но... данного файла пока нет на V.T. т.е. o В контекстное меню добавлен поиск по имени объекта на Яндекс и Google. искать не только по имени объекта -  но открывать сразу две страницы - одну с точным поиском по имени. другую с точным поиском по ЭЦП.  
    • demkd
      uVS - Тестирование

      От demkd · Опубликовано

      Это нормально, реестр для псевдопользователя "All users" бывает редко, для чего системе он нужен, я не разбирался еще, но он бывает, теперь при отсутствии пользовательского реестра выдается такое сообщение, как и в случае если реестр поврежден.
      Т.е. в этом случае сообщение можно смело игнорировать.
        о каких % речь?
        Подробнее, что именно искать и зачем?
    • PR55.RP55
      uVS - Тестирование

      От PR55.RP55 · Опубликовано

      + Я не вижу % при массовой проверке файлов на V.T. o В контекстное меню добавлен поиск по имени объекта на Яндекс и Google. Я бы добавил поиск по ЭЦП
×