Троян на службе государства

Троян на службе государства

Вряд ли кому-то необходимо напоминать о революционных настроениях, которые ныне царят в некоторых арабских странах. В Египте, несмотря на отставку президента, все еще продолжаются волнения; два дня назад, к примеру, протестующие захватили управление госбезопасности в каирском районе Наср. Там они ознакомились с большими объемами сведений, составляющих государственную тайну; среди документов отыскалось небезынтересное дело о вредоносном программном обеспечении.



Фотокопии страниц дела попали в распоряжение финского поставщика антивирусных решений F-Secure, запись о чем появилась сегодня в корпоративном блоге компании. Автор заметки Микко Хиппонен, однако, сразу подчеркнул, что пока не может однозначно подтвердить подлинность представленных на изображениях материалов, поскольку они получены, скажем так, из неофициальных источников. Тем не менее, рассматриваемые сведения все же дают пищу для размышлений.


Итак, перед нами PDF-файл с документами из дела, озаглавленного "FinFisher". К делу подшито несколько листов со сведениями на арабском языке, содержание которых доподлинно не известно ни нам, ни финским специалистам (можно, впрочем, предполагать, что это служебные бумаги с описанием программного обеспечения и его возможностей, которыми обменивались должностные лица или отделы египетского "КГБ"), а также англоязычное "коммерческое предложение", оформленное на бланке компании Gamma International UK Limited. Такая организация действительно существует, работает в Великобритании и Германии, и открыто рассказывает о своем продукте на веб-ресурсе finfisher.com.


Согласно документу, спецслужбам Египта было предложено приобрести программное и аппаратное обеспечение FinSpy для осуществления вторжений на целевые компьютеры вкупе со специализированными обучающими курсами по их применению, инструменты удаленного инфицирования FinFly (тоже с учебными курсами), а также право на пользование услугами технической поддержки. Общая сумма предложения составляет от 334 до 382 тыс. евро в зависимости от "опций". По фотокопиям, однако, невозможно определить, состоялась ли сделка, поэтому сведений о том, пользовалась ли египетская госбезопасность подобными инструментами, нет. Предложение датировано концом июня 2010 года, так что в принципе за прошедшие 6-7 месяцев спецслужбы могли успеть купить "продукты" Gamma International.


Эксперт F-Secure особо подчеркнул, что даже в тех случаях, когда вредоносное программное обеспечение используется государственными органами, антивирусные компании все равно должны вносить его в базы данных и бороться с ним - ведь клиенты ожидают, что защита их компьютеров будет надежной, и поставщик, которому они доверяют безопасность своих данных, обязан противодействовать любым угрозам безотносительно их происхождения и источника. "К нам никогда не обращались правоохранительные или разведывательные ведомства каких-либо стран с просьбами не детектировать определенные образцы", - отметил г-н Хиппонен, - "но даже если бы некое официальное лицо направило подобный запрос, мы, безусловно, ответили бы отказом".


F-Secure

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Microsoft отказалась закрывать критическую 0-day уязвимость в Windows

Специалисты Trend Micro зафиксировали эксплуатацию ранее неизвестной уязвимости в Windows (ZDI-CAN-25373) в атаках, нацеленных на кибершпионаж и кражу данных. Брешь якобы используется правительственными гипергруппами аж с 2017 года.

Несмотря серьёзную киберугрозу, Microsoft отказалась выпускать патч, заявив, что уязвимость «не соответствует уровню риска».

Однако специалисты Trend Micro считают, что корпорация недооценивает масштабы эксплуатации этой бреши. Они представили доказательства работы эксплойта в рамках программы Trend ZDI, но Microsoft всё равно не хочет выпускать апдейт.

По данным Trend Micro, уязвимость позволяет злоумышленникам выполнять произвольный код на устройствах под управлением Windows. В атаках были замечены такие известные киберпреступные группировки, как Evil Corp, APT43 (Kimsuky), Bitter, APT37, Mustang Panda, SideWinder, RedHotel и Konni.

Основные цели атак расположены в Северной и Южной Америке, Европе, Восточной Азии и Австралии. Примерно 70% атак были направлены на шпионаж и кражу информации, тогда как финансовая выгода выступала причиной только в 20% случаев.

Злоумышленники используют различные вредоносные программы, такие как Ursnif, Gh0st RAT и Trickbot, а также платформы «вредонос как услуга» (MaaS), что усложняет борьбу с этой угрозой.

Брешь ZDI-CAN-25373 связана с ошибкой отображения критически важной информации в пользовательском интерфейсе Windows (CWE-451). Атакующие используют специальные файлы .lnk (ярлыки) со скрытыми аргументами командной строки, маскируя их с помощью пробелов и управляющих символов (горизонтальная табуляция, перенос строки и т. д.).

При проверке таких ярлыков в стандартном интерфейсе Windows вредоносные аргументы остаются невидимыми для пользователя, что позволяет атакующим незаметно выполнять код на уязвимых устройствах. Чтобы эксплуатация уязвимости была успешной, пользователь должен открыть заражённый файл или перейти по вредоносной ссылке.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru