Бразильские провайдеры подверглись массовому "отравлению" DNS

Николай Головко 08 Ноября 2011 - 09:09

...

Сотрудник "Лаборатории Касперского" Фабио Ассолини сообщил в блоге Securelist, что в течение последних дней несколько поставщиков услуг Интернета, работающих на территории Бразилии, пострадали от злонамеренной модификации DNS-записей. Ничего не подозревающие клиенты провайдеров вместо легитимных ресурсов оказывались на вредоносных страницах.

В среднем крупные компании в этом секторе бразильского рынка имеют по 3-4 миллиона пользователей каждая, так что интерес злоумышленников к "отравлению" их баз данных DNS вполне объясним. В конце минувшей недели на многих форумах начали звучать жалобы и просьбы о помощи в избавлении от вредоносных перенаправлений; в частности, киберпреступники сумели внести нежелательные модификации в записи для таких известных сервисов, как YouTube, Gmail и Hotmail. Не ускользнули от внимания хакеров и популярные местные ресурсы, также привлекающие существенное число посетителей.

Во всех случаях от пользователей требовали загрузить и установить вредоносное программное обеспечение, чтобы получить доступ к интересующим их сайтам. В первоисточнике имеется иллюстрация, на которой видно уведомление с текстом "Установите Google Defence, чтобы иметь возможность использовать новый Google.com". Сей "продукт", как и прочие его аналоги для других ресурсов, на самом деле являлся троянским конем, предназначенным для хищения банковских данных. Загружался "Google Defence" с IP-адреса вида 80.XX.XX.198; г-н Ассолини отметил, что информационно-разведывательная сеть Kaspersky Security Network зарегистрировала как минимум 800 попыток доступа к этому адресу. Все пользователи, обращавшиеся к нему, были из Бразилии.

Известно, впрочем, что провайдеры были не единственными жертвами нападения: некоторые местные компании сообщали о том, что неизвестные злоумышленники атаковали их маршрутизаторы и вносили похожие изменения в DNS-записи, так что сотрудники этих организаций тоже перенаправлялись на опасные ресурсы; там их в конечном счете ждал все тот же банковский троянский конь.

Тогда же, в конце прошлой недели, поступили сообщения о том, что бразильская полиция арестовала работника одной из компаний-поставщиков услуг Интернета на юге страны; его обвиняют в соучастии в этой киберкриминальной операции. Соответственно, как минимум в одном случае злоумышленникам помог инсайдер; не исключено, что и в персонале других провайдеров тоже могли найтись "слабые звенья".

Securelist

Письмо автору

" />

Следующая главная новость »

Кибератака на завод: как избежать простоя и убытков?
Регистрируйтесь на эфир!

Екатерина Быстрова 09 Июня 2026 - 10:46

Linux Эксплойты Уязвимости программ Домашние пользователи Корпорации

Один символ, и root: для уязвимости в ядре Linux вышел рабочий эксплойт

У администраторов Linux появился ещё один повод проверить наличие обновлений ядра. Исследователи в области безопасности опубликовали подробный рабочий эксплойт для уязвимости CVE-2026-23111, которая позволяет обычному пользователю получить права root и даже выбраться за пределы контейнера.

Проблема скрывалась в подсистеме nf_tables, отвечающей за фильтрацию сетевого трафика в Linux.

Причём причина уязвимости оказалась почти анекдотической: ошибка сводилась фактически к одному неверному символу в коде. Патч, который разработчики выпустили ещё в феврале, занял всего одну строку.

Исследователь Оливер Зибер из Exodus Intelligence построил полноценную цепочку эксплуатации, которая позволяет непривилегированному пользователю повысить права до root. Более того, атака работает даже из контейнеризированной среды, позволяя выйти за её пределы и получить контроль над хостовой системой.

Эксплойт уже успешно протестировали на Debian Bookworm, Debian Trixie, Ubuntu 22.04 LTS и Ubuntu 24.04 LTS. Отдельную реализацию атаки ранее подготовили специалисты FuzzingLabs, которые воспроизвели проблему на RHEL 10.

Хорошая новость заключается в том, что уязвимость не позволяет атаковать систему удалённо. Злоумышленнику сначала необходимо получить хотя бы минимальный доступ к машине — например, через взломанный сервис, контейнер или учётную запись пользователя.

Плохая новость — именно такие сценарии сегодня встречаются чаще всего. После получения первоначального доступа подобные локальные уязвимости становятся удобным инструментом для полного захвата системы.

Особенно рискуют системы, где включены пользовательские пространства имён (user namespaces) и используется nf_tables. Такая конфигурация встречается на большинстве современных Linux-дистрибутивов по умолчанию.

На данный момент признаков эксплуатации CVE-2026-23111 в реальных кибератаках не зафиксировано. Однако технические подробности и рабочий код уже доступны публично. Причём первый публичный эксплойт появился ещё в апреле, а теперь исследователи опубликовали детальное руководство по эксплуатации.

Кибератака на завод: как избежать простоя и убытков?
Регистрируйтесь на эфир!