АНБ имеет доступ к данным на всех популярных смартфонах

АНБ имеет доступ к данным на всех популярных смартфонах

Американское агентство Национальной безопасности имеет возможность чтения пользовательских данных на трех наиболее популярных платформах смартфонов, включая защищенную платформу BlackBerry. Об этом в выходные сообщает немецкий журнал Spiegel со ссылкой на данные новых утечек.



Американское разведведомство создало в своей структуре специальные группы по работе с теми или иными платформами, в задачи которых входит перехват контакт-листов, SMS-трафика, данных о местоположении пользователей, а также некоторые рабочие документы. В статье указано, что АНБ имеет доступ по крайней мере к 38 функциям iPhone, а кроме того, оно также получает доступ и к компьютерам, когда пользователи подключают мобильные устройства для синхронизации, сообщает cybersecurity.ru.

В статье не приводятся конкретные данные о том, как именно АНБ это делает, поэтому непонятно, идет ли речь о недокументированных функциях мобильников, о доступе на уровне операторов или о каком-то ином методе. Журналисты Spiegel обратились к пресс-службе BlackBerry за комментариями, но там заявили, что никогда не встраивали и не встраивают никаких "инженерных отмычек" к своим продуктам, однако в BlackBerry отказались комментировать данные о возможном сотрудничестве с АНБ.

Spiegel отмечает со ссылкой на документы утечек о том, что значительная часть активности разведки действительно проходила на уровне телеком-операторов, поэтому о ряде программ производители устройств, хотя и догадывались, ничего специально для АНБ не делали, дабы не запятнать свой бренд.

Напомним, что на прошлой неделе в New York Times и ряде других газет появились статьи, согласно которым АНБ обладает техниками для взлома большинства современных криптографических алгоритмов. NYTimes также не приводит данных о как именно АНБ ломает математически устойчивые на сегодня алгоритмы, лишь сообщая, что ведомство использует самые современные суперкомпьютеры и методы передовых крипто-аналитиков.

К слову говоря, сегодня же компания Errate Security развивает эти сведения, сообщая, что она провела исследования и может с ответственностью утверждать: бОльшая часть крипто-ключей сети Tor может быть взломана средствами АНБ, так как большинство ключей не имеют никакой экстра-защиты.

Роб Грехем, генеральный директор Errata Security, говорит, что его компания в целях тестирования создала собственный Tor-узел для маршрутизации и занялась изучением входящих коннектов. Всего было отобрано 22 920 случайных коннектов, из которых 76% использовали 1024-битные ключи D-H (Diffie–Hellman). Технически, этот метод шифрования считается устойчивым, но только если этот ключ не ломается мощностями суперкомпьютера. "Думаю, что никто не будет отрицать тот факт, что современные суперкомпьютеры могут быстро взломать 1024 RSA/DH ключи", - пишет в блоге Грехем.

"Известно, что АНБ инвестировала миллиарды в создание парка вычислительных машин, кроме того ранее появлялись сведения о том, что в АНБ поставлялись специализированные крипто-аналитические чипы, которые, вероятно, предназначены для быстрого перебора ключей", - пишет он.

Также специалист пишет, что немногие пользователи Tor используют последнюю версию ПО (0.2.4), в которой применяется D-H с эллиптическими кривыми, что затрудняет взлом. Остальные используют более слабые ключи. "Конечно, я всего лишь делаю предположение, может выясниться, что и новые версии Tor достаточно просты для взламывания", - пишет он.

Фишеры атакуют российский авиапром через счета и ставят AnyDesk

Исследователи Seqrite обнаружили фишинговую кампанию против российских аэрокосмических компаний. Схема получилась уже знакомая: письмо якобы со счётом от реальной авиационной организации. Но внутри не бухгалтерия, а удалённый доступ к компьютеру жертвы через AnyDesk.

Атака начинается с письма, отправленного от имени ВНИИР. Домен похож на настоящий, тема про счёт, оформление с логотипом Минпромторга. Для убедительности всё как надо.

Однако фейковый домен зарегистрировали всего за несколько дней до рассылки, а список получателей скрыт, что намекает на массовую отправку.

 

Во вложении лежит запароленный архив. Пароль заботливо указан в тексте письма: пользователю удобно, защитным системам — уже не очень. Внутри находится дроппер, собранный с помощью Smart Install Maker. После запуска он показывает на экране PDF-приманку со счётом, а сам тем временем распаковывает файлы во временную папку и тянет с командного сервера второй архив.

 

В этом наборе — портативный AnyDesk, почтовая утилита Blat, Tray Minimizer и batch-скрипт. Последний делает всю грязную работу: ждёт около минуты, чтобы пережить песочницы, задаёт фиксированный пароль AnyDesk, копирует его в ProgramData и запускает. После этого операторы могут заходить на машину без лишних вопросов и всплывающих просьб.

Затем скрипт упаковывает настройки AnyDesk в защищённый архив и отправляет их злоумышленникам через Blat по SMTP. Для закрепления создаётся задача с кривым названием Auto apdate, а временные файлы удаляются, чтобы расследователям было веселее копаться в следах.

 

Seqrite подозревает связь с группой Rare Werewolf, также известной как Librarian Ghouls и Rezet. Её активность фиксируют как минимум с 2019 года, а среди целей ранее были организации в России, Беларуси и Казахстане, включая аэрокосмический сектор и тяжёлую промышленность.

Главная фишка атаки — минимум экзотики. Вместо редкого вредоноса используются легитимные инструменты: AnyDesk, Blat и переименованный WinRAR.

RSS: Новости на портале Anti-Malware.ru