ЛК раскрывает таргетированные атаки против Японии и Южной Кореи

Исследовательский центр «Лаборатории Касперского» выпустил отчет, раскрывающий действия кибершпионской группы Icefog, нацеленной на организации Южной Кореи и Японии и наносящей урон поставщикам компонентов оборонной отрасли США. Активность группы началась в 2011 году, а в середине 2012-го ее деятельность приобрела новый масштаб.

«За последние несколько лет мы стали свидетелями множества таргетированных атак, бьющих по самым различным отраслям. Во многих случаях злоумышленники годами присутствовали в корпоративных и правительственных сетях и перехватывали терабайты ценных данных, – прокомментировал Виталий Камлюк, ведущий антивирусный эксперт «Лаборатории Касперского». – Но тактика набегов Icefog демонстрирует новую тенденцию: небольшие группы хакеров начинают охотиться за информацией с «хирургической» точностью. Атака продолжается от нескольких дней до недель и, получив желаемое, злоумышленники подчищают следы и уходят. Мы ожидаем роста числа подобных групп, специализирующихся на фокусированных атаках – что-то вроде современных кибернаемников».

Исследование показывает, что среди целей группы были подрядчики оборонной отрасли (например, корейские Lig Nex1 и Selectron Industrial Company), судостроительные компании (DSME Tech, Hanjin Heavy Industries), морские грузоперевозчики, телекоммуникационные операторы (Korea Telecom), медиа-компании (Fuji TV) и Японо-Китайская Экономическая Ассоциация. Взламывая компьютеры, киберпреступники перехватывают внутренние документы и планы организации, данные учетных записей почты и пароли для доступа к внешним и внутренним ресурсам сети, а также списки контактов и содержимое баз данных.

Во время атак злоумышленники используют вредосноные программы семейства «Icefog» (так же известного, как «Fucobha»). Специалисты «Лаборатории Касперского» обнаружили версии «Icefog» как для Microsoft Windows, так и для Mac OSX.

Тогда как в случае других кибершпионских кампаний компьютеры жертв оставались зараженными месяцами или даже годами, позволяя злоумышленникам постоянно перехватывать данные, операторы Icefog обрабатывают свои цели одну за другой: находят и копируют только необходимую информацию, после чего самоустраняются. Чаще всего операторы заранее знают, что им требуется на зараженных компьютерах. Они ищут определенные имена файлов, показывая навыки японского и корейского языков, и когда находят то, что искали - передают на управляющий сервер.

Эксперты «Лаборатории Касперского» с помощью техники «DNS-sinkhole» получили возможность мониторинга 13 из более чем 70 доменов, используемых злоумышленниками. Это предоставило дополнительную статистику по количеству и географии жертв в мире. Также на управляющих серверах в открытом доступе, но в зашифрованном виде были обнаружены журналы с описанием каждого действия, совершенного атакующими на зараженных компьютерах. В некоторых случаях это помогло определить цели атаки и идентифицировать жертв. В дополнение к Японии и Южной Кореи, было зарегистрировано множество попыток соединений из Тайвани, Гонконга, Китая, США, Австралии, Канады, Великобритании, Италии, Германии, Австрии, Сингапура, Белоруссии и Малайзии. В общей сложности, эксперты «Лаборатории Касперского» наблюдали более 4000 уникальных IP-адресов зараженных машин, принадлежащих сотням жертв, 350 из которых пользовались Mac OS X, и лишь несколько десятков – Microsoft Windows.

Основываясь на ряде улик, оставленных атакующими, специалисты «Лаборатории Касперского» предполагают, что члены этой группы могут находиться в одной из трех стран: Китай, Южная Корея или Япония. Стоит также отметить, что практически все внутренние сообщения, найденные во вредоносной программе, были на китайском языке, так же как и ее код с основным языком операционной системы сервера управления Icefog.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

GitHub улучшил систему двухфакторной аутентификации с помощью WebAuthn

GitHub отныне официально поддерживает веб-стандарт WebAuthn (Web Authentication). По замыслу разработчиков, новые меры помогут усовершенствовать процесс аутентификации и лучше защитят учетные записи пользователей платформы.

До этого GitHub уже поддерживал двухфакторную аутентификацию (2FA), в процессе которой пользователю приходило SMS-сообщение с кодом. Это не самая безопасная практика, так как киберпространство уже знает множество случаев, когда злоумышленники перехватывали SMS со вторым фактором.

Помимо этого, на платформе GitHub можно было использовать приложения для одноразовых кодов и ключи безопасности U2F (Universal Second Factor). При этом U2F — уже довольно старый стандарт.

Внедрение поддержки WebAuthn поможет GitHub поддерживать работу физических ключей безопасности вкупе с браузерами Firefox и Chrome в системах Windows, macOS, Linux и Android. Пользователи iOS смогут воспользоваться браузером Brave и ключом YubiKey 5Ci.

Более того, если вы используете площадку GitHub, у вас теперь есть возможность задействовать ноутбук или телефон в качестве ключа безопасности — с помощью Windows Hello, Touch ID на macOS или сканера отпечатка пальца на Android..

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru