В сети обнаружен новый вирус Turla

В сети обнаружен новый вирус Turla

Ранее неизвестное шпионское программное обеспечение уже смогло инфицировать сотни правительственных компьютеров в Европе и США. Специалисты говорят, что по своей логике вредонос является одним из сложнейших за всю историю.

Несколько западных специалистов по ИТ-безопасности и разведывательных агентств полагают, что вредоносное программное обеспечение Turla работает в интересах официальных российских властей и связано с тем же программным обеспечением, которое уже поражало американские военные сети в 2008 году.

Подобные утверждения основаны на анализе тактики хакеров, а также на множестве технических индикаторов и жертвах, которые были атакованы Turla. «Это сложное программное обеспечение, похожее на другие эксплоиты российского производства. Оно использует шифрование и ориентировано на западные правительства», - говорит Джим Льюис, экс-служащий дипломатической службы США, в настоящее время старший научный сотрудник Центра стратегических и международных исследований в Вашингтоне, сообщает cybersecurity.ru.

Тем не менее, эксперты по безопасности предупреждают: связь с Россией - это лишь догадка, которую невозможно подтвердить до тех пор, пока (и если) Москва не возьмет на себя ответственность за создание кода. В Turla разработчики используют много технологий для сокрытия собственной личности.

Отметим, что слухи о новом российском супер-вредоносе изначально были заявлены небольшой немецкой компанией G Data, однако в терминологии этой компании код получил названием Uroburos. Здесь говорят, что российские про-правительственные хакеры пишут достаточно качественный с точки зрения функционала софт и умело скрывают свою личность, кроме того, они очень эффективно поддерживают контроль над зараженными ресурсами и сетями. Здесь тактика атак выбирается очень избранно и подгоняется под конкретную жертву. Китайские про-правительственные хакеры действуют совершенно иначе - они атакуют максимально широко, надеясь хотя бы единожды попасть в цель.

«Все они знают, что большинство людей не имеют технических знаний, чтобы победить. Кроме того, большинство людей не задумываются о хакерской угрозе и делают многие вещи в спящем состоянии», - говорит Льюис.

В пятницу британский оборонный подрядчик BAE Systems Applied Intelligence также сообщил о выявлении нового вредоносного кода, атакующего британские правительственные учреждения. В терминологии BAE код именуется Snake. В BAE также говорят о чрезвычайно высокой сложности кода. Сейчас невозможно установить, явлются ли Turla, Uroburos и Snake одним и тем же кодом.

В корпорации Symantec говорят, что сейчас жертвами Turla стали около 1000 сетей. Кроме того, здесь убеждены, что за Turla и ранее обнаруженным кодом Agent BTZ стоят одни и те же люди. В Symantec не называют жертв вирусов, но говорят, что подавляющее большинство - это правительственные агентства.

В финской F-Secure говорят, что они впервые с Turla столкнулись еще в прошлом году, когда расследовали комплексную атаку в интересах одного из заказчиков. «Turla похож на русский код, однако достоверно говорить об этом нельзя», - говорит технический специалист F-Secure Микко Хиппонен. По его словам, Turla и Agent.BTZ - это коды одного семейства. Первые примеры этого семейства были использованы для атаки на Центральное командование США в 2008 году. При этом, сам Вашингтон не признает факт данной атаки и по сей день.

В F-Secure говорят, что про-российские коды использовались в том же 2008 году для атаки сетей НАТО. Сейчас неизвестны названия кодов, использованных тогда для атак. Хиппонен говорит, что в прошлом году похожий код был использован для нападения на Министерство иностранных дел Финляндии.

Эрик Чен, технический директор Symantec Security Response, говорит, что Turla - это «дальнейшая эволюция» Agent.BTZ. «Очевидно, что группа, работающая над этими вредоносами активна и в наши дни», - полагает он.

Хайме Бласко, директор AlienVault Labs, говорит, что им также известно о Turla. Здесь данный вредонос описывают как «фреймворк» для шпионажа, а не как единичное вредоносное ПО. Выявленный ими код создает клиентский руткит, который прячет свое присутствие посредством создания шифрованной виртуальной файловой системы, в которую уводятся краденные данные. Кроме того, архитектура вредоноса такова, что оператор атаки может добавлять во вредонос дополнительные модули с новым функционалом.

Эрик Чен говорит, что кодами Turla пользуются и в данный момент, так как управляющие серверы, на которые стекаются данные постоянно обновляются и при отключении одного сервера в сети тут же появляется новый.

WhatsApp обещает защитить юзернеймы от фейков, клонов и мошенников

WhatsApp (принадлежит корпорации Meta, признанной экстремисткой и запрещённой в России) еще не успел полноценно запустить имена пользователей, а вокруг функции уже началась возня с регуляторами. По данным СМИ, власти Индии попросили корпорацию притормозить и объяснить, как мессенджер собирается бороться с мошенничеством и подделкой личностей.

Суть опасений понятна: если пользователи смогут общаться без передачи номера телефона, мошенникам якобы станет проще прятаться за никами, выдавать себя за людей, компании или госорганы и проворачивать привычные схемы уже в более анонимном формате.

WhatsApp с этим не согласен и утверждает, что защита от злоупотреблений уже заложена в дизайн функции. Представитель корпорации сообщил Android Authority, что возможность использовать юзернеймы пока не запущена для всех и будет внедряться постепенно.

По словам WhatsApp, самые заметные имена заранее зарезервированы: публичные персоны, госструктуры, знаменитости и верифицированные аккаунты Meta не смогут быть захвачены посторонними. Более того, похожие варианты известных имен тоже удерживаются.

Компания также подчёркивает: имена пользователей не заменят номер телефона полностью. Для создания и использования аккаунта WhatsApp по-прежнему потребуется телефонный номер. Ник нужен только как способ дать людям возможность связаться друг с другом без немедленного раскрытия номера.

Дополнительные ограничения тоже будут. Чтобы написать человеку по юзернейму, нужно знать его точное имя. WhatsApp обещает ограничивать количество новых контактов, которым может написать один аккаунт, блокировать массовый перебор никнеймов и использовать автоматические системы для поиска подозрительной активности и имперсонации.

Если незнакомец впервые напишет по имени, пользователь увидит больше контекста: новый ли это аккаунт, есть ли он в контактах, есть ли общая группа и из какой страны идет сообщение.

Иными словами, WhatsApp пытается усидеть на двух стульях: дать пользователям больше приватности, но не превратить юзернеймы в новый рай для мошенников. Получится ли? Станет понятно после запуска.

RSS: Новости на портале Anti-Malware.ru