Новые тучи на горизонте Spamhaus

Александр Панасенко 20 Октября 2011 - 17:33

...

Голландский транзит-провайдер A2B Internet обратился в местную полицию с жалобой на антиспамерскую организацию Spamhaus, которая, по утверждению заявителей, использует незаконные методы воздействия, а именно ― шантаж и «DoS-атаки».

Яблоком раздора в начавшейся тяжбе является голландский хостинг-провайдер Cyberbunker (AS34109), он же CB3ROB, который использует серверы датацентра, выходящего в Сеть через A2B (AS51088). По словам активистов, Cyberbunker предоставляет своим клиентам «пуленепробиваемые» площадки, которые исправно служат спамерам, фишерам и распространителям зловредов. Его услугами в свое время пользовались The Pirate Bay и RBN (Russian Business Network), передает securelist.

По свидетельству Spamhaus, в текущем году криминальная активность в сетях Cyberbunker усилилась, однако хостер упрямо отказывался прекратить обслуживание веб-сайтов, продвигаемых через спам-рассылки. Борцы за чистоту интернета пытались заручиться поддержкой вышестоящего провайдера, A2B, но тот, по их словам, долгое время игнорировал их призывы. Проблемы начались, когда активисты вознамерились напрочь лишить Cyberbunker доступа к интернету. Уступив их напору, A2B заблокировал блок IP-адресов, засветившийся в черных списках Spamhaus, однако этого оказалось мало. В начале октября антиспамеры занесли в блок-лист весь диапазон A2B, и компании ничего не оставалось, как отлучить сомнительного клиента от Сети.

Доброе имя A2B было сразу же восстановлено, однако интернет-провайдера возмутили неучтивое поведение и нецивилизованный modus operandi, который, по его словам, избрала некоммерческая организация. В действиях борцов со спамом пострадавший усмотрел стремление навязать собственное мнение, пренебрежение к национальным законам и чужим политикам в отношении абьюзов. Глава компании намерен предать широкой гласности этот конфликт и обсудить его на ближайшем совещании участников RIPE.

Spamhaus, со своей стороны, пытается доказать свою правоту, намекая на нечистоплотность самого транзит-провайдера . По данным антиспамеров, до A2B виновник междоусобицы выходил в Сеть через Ecatel.net, затем Grafix.nl и Datahouse.nl. Последние два канала контролирует A2B, а репутация Ecatel давно подмочена связями с киберкриминалом. Тем временем, оставшись без связи, Cyberbunker нашел альтернативный канал, но так и не избавился от сомнительных клиентов. Расследованием его деятельности с подачи Spamhaus займутся голландские борцы с преступлениями в сфере высоких технологий, которым активисты передали всю соответствующую документацию.

Следующая главная новость »

Итоги 2025 в ИБ: анализ рынка, тенденции и прогнозы в эфире AM Live. Регистрируйтесь по этой ссылке »

Екатерина Быстрова 22 Декабря 2025 - 14:11

Трояны Шпионские программы Программы слежения Домашние пользователи

Поддельный пакет для WhatsApp из NPM сливает сообщения и контакты

В экосистеме JavaScript обнаружили очередную, но особенно неприятную атаку на цепочку поставок. В каталоге NPM более полугода распространялся вредоносный пакет lotusbail, который выдавал себя за библиотеку для работы с WhatsApp API (принадлежит признанной в России экстремистской организации и запрещённой корпорации Meta) — и при этом тихо воровал переписку, контакты и учётные данные пользователей.

На находку обратили внимание исследователи из Koi Security, опубликовав подробный технический разбор. К моменту обнаружения пакет успели скачать более 56 тысяч раз, что делает ситуацию далеко не нишевой.

В отличие от многих зловредов в NPM, которые ломаются или выдают себя странным поведением, lotusbail был практически идеальной подделкой. Его авторы просто склонировали популярную библиотеку @whiskeysockets/baileys, которая используется для работы с WhatsApp Web через WebSocket, и аккуратно встроили в неё вредоносный код.

Снаружи всё выглядело легитимно: приложения на базе lotusbail спокойно отправляли и получали сообщения. Но параллельно библиотека:

перехватывала все входящие и исходящие сообщения;
собирала медиафайлы;
вытаскивала списки контактов с номерами телефонов;
сохраняла WhatsApp-сессии, токены и коды привязки устройств.

Причём перехватывались не только новые сообщения, но и исторические данные, доступные через API.

Самая опасная часть — использование механизма «сопряжение устройств» в WhatsApp. В коде пакета был зашит жёстко заданный, зашифрованный AES код привязки, который незаметно подключал устройство злоумышленника к аккаунту жертвы.

В результате атакующий получал постоянный доступ к WhatsApp-аккаунту, который сохранялся даже после удаления вредоносного пакета из проекта.

Проще говоря, удалить lotusbail недостаточно. Чтобы полностью закрыть дыру, жертве нужно вручную отвязать все устройства в настройках WhatsApp.

Собранные данные дополнительно шифровались с помощью кастомной реализации RSA. Это не имело отношения к сквозному шифрованию WhatsApp — цель была другой: спрятать утечки от систем мониторинга и сетевых средств защиты.

Эксперты отмечают, что атака отлично иллюстрирует главную проблему экосистемы open source: функциональность маскирует вредоносную логику. NPM остаётся одной из самых привлекательных целей для атак на цепочки поставок — из-за масштаба, доверия разработчиков и низкого порога публикации пакетов.

Ранее в новом докладе властей Великобритании прозвучала мысль, что разработка зашифрованных мессенджеров вроде WhatsApp теоретически может считаться «враждебной деятельностью».

Итоги 2025 в ИБ: анализ рынка, тенденции и прогнозы в эфире AM Live. Регистрируйтесь по этой ссылке »