АНБ имеет доступ к данным на всех популярных смартфонах

Американское агентство Национальной безопасности имеет возможность чтения пользовательских данных на трех наиболее популярных платформах смартфонов, включая защищенную платформу BlackBerry. Об этом в выходные сообщает немецкий журнал Spiegel со ссылкой на данные новых утечек.



Американское разведведомство создало в своей структуре специальные группы по работе с теми или иными платформами, в задачи которых входит перехват контакт-листов, SMS-трафика, данных о местоположении пользователей, а также некоторые рабочие документы. В статье указано, что АНБ имеет доступ по крайней мере к 38 функциям iPhone, а кроме того, оно также получает доступ и к компьютерам, когда пользователи подключают мобильные устройства для синхронизации, сообщает cybersecurity.ru.

В статье не приводятся конкретные данные о том, как именно АНБ это делает, поэтому непонятно, идет ли речь о недокументированных функциях мобильников, о доступе на уровне операторов или о каком-то ином методе. Журналисты Spiegel обратились к пресс-службе BlackBerry за комментариями, но там заявили, что никогда не встраивали и не встраивают никаких "инженерных отмычек" к своим продуктам, однако в BlackBerry отказались комментировать данные о возможном сотрудничестве с АНБ.

Spiegel отмечает со ссылкой на документы утечек о том, что значительная часть активности разведки действительно проходила на уровне телеком-операторов, поэтому о ряде программ производители устройств, хотя и догадывались, ничего специально для АНБ не делали, дабы не запятнать свой бренд.

Напомним, что на прошлой неделе в New York Times и ряде других газет появились статьи, согласно которым АНБ обладает техниками для взлома большинства современных криптографических алгоритмов. NYTimes также не приводит данных о как именно АНБ ломает математически устойчивые на сегодня алгоритмы, лишь сообщая, что ведомство использует самые современные суперкомпьютеры и методы передовых крипто-аналитиков.

К слову говоря, сегодня же компания Errate Security развивает эти сведения, сообщая, что она провела исследования и может с ответственностью утверждать: бОльшая часть крипто-ключей сети Tor может быть взломана средствами АНБ, так как большинство ключей не имеют никакой экстра-защиты.

Роб Грехем, генеральный директор Errata Security, говорит, что его компания в целях тестирования создала собственный Tor-узел для маршрутизации и занялась изучением входящих коннектов. Всего было отобрано 22 920 случайных коннектов, из которых 76% использовали 1024-битные ключи D-H (Diffie–Hellman). Технически, этот метод шифрования считается устойчивым, но только если этот ключ не ломается мощностями суперкомпьютера. "Думаю, что никто не будет отрицать тот факт, что современные суперкомпьютеры могут быстро взломать 1024 RSA/DH ключи", - пишет в блоге Грехем.

"Известно, что АНБ инвестировала миллиарды в создание парка вычислительных машин, кроме того ранее появлялись сведения о том, что в АНБ поставлялись специализированные крипто-аналитические чипы, которые, вероятно, предназначены для быстрого перебора ключей", - пишет он.

Также специалист пишет, что немногие пользователи Tor используют последнюю версию ПО (0.2.4), в которой применяется D-H с эллиптическими кривыми, что затрудняет взлом. Остальные используют более слабые ключи. "Конечно, я всего лишь делаю предположение, может выясниться, что и новые версии Tor достаточно просты для взламывания", - пишет он.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Троян SapphireStealer прятался в клоне листовки ЦИК о выборах президента

Команда киберразведки из компании F.A.C.C.T. обнаружила модифицированную версию вредоносной программы SapphireStealer в PDF-файле якобы от Центральной избирательной комиссии (ЦИК) с информацией о прошедших выборах Президента России.

Программа SapphireStealer является классическим трояном, способным перехватывать и отправлять операторам данные жертв. В новой кампании вредонос крал учётные данные из браузеров и Telegram.

Для распространения SapphireStealer киберпреступники использовали фейковый веб-ресурс, замаскированный под сайт правительства России. В F.A.C.C.T. считают, что такой же трюк злоумышленники могут использовать в Единый день голосования, который пройдёт 8 сентября 2024 года.

В сущности, SapphireStealer стал первым инфостилером, которого авторы выдали за официальные документы ЦИК. Об этой вредоносной программе мы писали в сентябре 2023 года, тогда в Сети нашлись модифицированные образцы SapphireStealer, использовавшие для отправки данных API Discord и Telegram.

В более свежих атаках операторы задействовали для распространения домен, выдающий себя за государственный ресурс. Как выяснила F.A.C.C.T., исходный код трояна два года назад выложили в одном из телеграм-каналов и на форуме zelenka.guru.

 

Вредоносный домен govermentu[.]ru злоумышленники зарегистрировали 29 января 2024 года. На нём располагался исполняемый файл «О предоставлении информации о предстоящих выборах.exe», засветившийся на VirusTotal 15 марта.

В качестве отвлекающего фактора при выполнении экзешника тот демонстрировал жертве документ-приманку «О предоставлении информации о предстоящих выборах.pdf».

 

В системе зловред прописывается в автозагрузку через планировщик задач Windows и время от времени обращается в командному серверу. Каждый пользователь получается свой идентификатор на основе processorID (процессор) и SerialNumber (системная плата).

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru