Мобильные 3G и 4G-модемы уязвимы для хакерских атак

Мобильные 3G и 4G-модемы уязвимы для хакерских атак

Двое российских исследователей в области информационной безопасности утверждают, что большинство USB-модемов, используемых владельцами мобильных устройств для доступа в Интернет плохо защищены от хакерских атак. Специалисты изучили множество моделей 3G и 4G-модемов, распространяемых российскими операторами сотовой связи и выяснили, что практически все эти устройства представляют серьезную угрозу безопасности.

Наибольшей популярностью в России пользуются модемы, производимые китайскими компаниями Huawei и ZTE. Устройства от этих производителей достаточно широко распространены и в других странах. Таким образом, можно утверждать, что обнаруженная проблема имеет глобальный характер, пишет soft.mail.ru.

Исследователи Никита Тараканов (Nikita Tarakanov) и Олег Купреев (Oleg Kupreev) рассказали о нескольких обнаруженных уязвимостях и подчеркнули, что атаки на разные модели модемов могут осуществляться по одной и той же схеме, благодаря идентичности аппаратной начинки устройств и используемого программного обеспечения.

Как утверждает Никита Тараканов, злоумышленники могут создать образ файловой системы модема, внести необходимые изменения и сохранить модифицированный образ в памяти устройства. Эту операцию можно на удивление легко осуществить с помощью бесплатных инструментов, предоставляемых компанией Huawei и другими производителями.

Проникшие в систему вредоносные приложения также способны определять тип подключенного модема и вносить изменения в его работу. Эксперты обращают особое внимание на тот факт, что информация о настройках модема хранится в конфигурационных файлах в виде легко модифицируемого неформатированного текста. Благодаря этой уязвимости организаторы атаки могут без труда осуществлять перенаправление сетевого трафика и изменять настройки DNS-серверов. Конфигурационный файл, отредактированный должным образом, также может использоваться для установки вредоносного ПО на клиентские системы.

Необходимо также упомянуть, что большинство модемов предусматривает автоматическую загрузку обновлений с сервера производителя. Таким образом, злоумышленникам достаточно скомпрометировать единственный сервер обновлений для получения контроля над многочисленными устройствами, обслуживаемыми разными операторами.

Результаты проведенного исследования были представлены вниманию общественности на конференции Black Hat Europe 2013, которая проходит в эти дни в Амстердаме.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Вредонос под видом мода к Minecraft украл данные 1500 игроков

Если вы скачиваете моды к Minecraft с GitHub — самое время быть осторожным. Исследователи из Check Point обнаружили новую многоступенчатую вредоносную кампанию, нацеленную именно на игроков этой игры.

Всё начинается с якобы безобидного мода, а заканчивается кражей паролей, токенов и данных из криптокошельков.

Злоумышленники распространяют вредонос под видом модов под названиями Oringo и Taunahi — это так называемые «чит-скрипты». Работают они только в среде Minecraft, потому что написаны на Java и запускаются, если игра установлена.

Заражение происходит в несколько этапов:

  1. Игрок сам копирует вредоносный JAR-файл в папку с модами.
  2. При запуске Minecraft этот файл загружается вместе с остальными модами.
  3. Он скачивает второй этап заражения — ещё один JAR, который, в свою очередь, вытягивает .NET-программу-крадущую (инфостилер).

Причём вся передача команд и ссылок завуалирована — используется Pastebin с зашифрованным IP-адресом сервера.

Что может этот зловред?

Очень многое. После загрузки финального компонента начинается сбор:

  • токенов Discord, Minecraft, Telegram;
  • логинов и паролей из браузеров;
  • данных криптокошельков;
  • файлов с компьютера;
  • данных из приложений вроде Steam и FileZilla;
  • снимков экрана, буфера обмена и списка запущенных процессов.

Всё это отправляется обратно через Discord Webhook.

Кто за этим стоит?

Исследователи подозревают, что за атакой стоит русскоязычный злоумышленник. Об этом говорят артефакты на русском языке и часовой пояс (UTC+03:00) в коммитах на GitHub. По предварительным оценкам, уже пострадали более 1 500 устройств.

Вся эта кампания использует нелегальный сервис Stargazers Ghost Network — он позволяет размещать вредоносные репозитории на GitHub, маскируя их под взломанное ПО и игровые моды.

 

А что с KimJongRAT?

Параллельно исследователи из Unit 42 (Palo Alto Networks) сообщили о двух новых вариантах известного шпионского инструмента KimJongRAT. Один — в виде исполняемого файла (PE), второй — в PowerShell-реализации. Оба активируются через клик по LNK-файлу и загружают компоненты для кражи данных и нажатий клавиш. За этим стоит, предположительно, северокорейская группировка, связанная с кампаниями BabyShark и Stolen Pencil.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru