Mobily начинает слежку за пользователями Twitter и Viber

В Саудовской Аравии скупают SSL и TLS-уязвимости

Кирилл Токарев 15 Мая 2013 - 08:50

Корпорации

Государство

Системы защиты личных данных

Защита персональных данных

Системы защиты данных от потери

Системы реагирования и управления инцидентами (IRP)

Средства криптографической защиты информации

Кража данных

...

Телекоммуникационная компания Mobily из Саудовской Аравии разрабатывает способ перехвата шифрованных данных, передаваемых через сервисы Twitter, Viber и другие мобильные программы. Об этом сообщает криптограф Мокси Марлинспайк, который недавно покинул Twitter, где работал в отделе безопасности.

Он узнал об этом проекте из письма, которое ему отправили представители сотового оператора. В email говорится, что подобное решение навязывается органом, регулирующим деятельность телекоммуникационных компаний в стране. Специалист верит, что во всем виновато правительство Саудовской Аравии. В переписке представители Mobily говорят, что искали способы обойти защиту SSL и TLS-протоколов, что у сотрудников фирмы была возможность следить за сообщениями, якобы связанными с террористической деятельностью.

«В одном из документов, который оказался в моем распоряжении, прямо говорится о создании специальных SSL-сертификатов, которые можно было бы использовать для перехвата данных», – пишет криптограф в своем блоге. «Существенная часть этого документа была посвящена перекупке ошибок и уязвимостей в SSL или поиска других способов получить доступ к данным».

По словам Марлинспайка, уровень изощренности изысканий Mobily низкий. Доход этой компании составляет свыше 5 млрд долларов, так что рано или поздно разработчики что-то придумают. Больше всего специалиста печалит то, что защита во многих программах, за которыми следят, очень низкая. Например, WhatsApp представители оператора смогли взломать всего за несколько дней.

Марлинспайк признает, что было невежливо публиковать в сети детали личной корреспонденции, однако он полагает, что еще более невежливым стало желание правительства следить за гражданами. Представители Mobily воздержались от прямых комментариев в интервью с западными журналистами.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 18 Июня 2025 - 17:47

Трояны Утечки информации Умышленные утечки информации Кража данных Домашние пользователи

Вредонос под видом мода к Minecraft украл данные 1500 игроков

Если вы скачиваете моды к Minecraft с GitHub — самое время быть осторожным. Исследователи из Check Point обнаружили новую многоступенчатую вредоносную кампанию, нацеленную именно на игроков этой игры.

Всё начинается с якобы безобидного мода, а заканчивается кражей паролей, токенов и данных из криптокошельков.

Злоумышленники распространяют вредонос под видом модов под названиями Oringo и Taunahi — это так называемые «чит-скрипты». Работают они только в среде Minecraft, потому что написаны на Java и запускаются, если игра установлена.

Заражение происходит в несколько этапов:

Игрок сам копирует вредоносный JAR-файл в папку с модами.
При запуске Minecraft этот файл загружается вместе с остальными модами.
Он скачивает второй этап заражения — ещё один JAR, который, в свою очередь, вытягивает .NET-программу-крадущую (инфостилер).

Причём вся передача команд и ссылок завуалирована — используется Pastebin с зашифрованным IP-адресом сервера.

Что может этот зловред?

Очень многое. После загрузки финального компонента начинается сбор:

токенов Discord, Minecraft, Telegram;
логинов и паролей из браузеров;
данных криптокошельков;
файлов с компьютера;
данных из приложений вроде Steam и FileZilla;
снимков экрана, буфера обмена и списка запущенных процессов.

Всё это отправляется обратно через Discord Webhook.

Кто за этим стоит?

Исследователи подозревают, что за атакой стоит русскоязычный злоумышленник. Об этом говорят артефакты на русском языке и часовой пояс (UTC+03:00) в коммитах на GitHub. По предварительным оценкам, уже пострадали более 1 500 устройств.

Вся эта кампания использует нелегальный сервис Stargazers Ghost Network — он позволяет размещать вредоносные репозитории на GitHub, маскируя их под взломанное ПО и игровые моды.

А что с KimJongRAT?

Параллельно исследователи из Unit 42 (Palo Alto Networks) сообщили о двух новых вариантах известного шпионского инструмента KimJongRAT. Один — в виде исполняемого файла (PE), второй — в PowerShell-реализации. Оба активируются через клик по LNK-файлу и загружают компоненты для кражи данных и нажатий клавиш. За этим стоит, предположительно, северокорейская группировка, связанная с кампаниями BabyShark и Stolen Pencil.

В Саудовской Аравии скупают SSL и TLS-уязвимости

Читайте также