ЛК проанализировала, связь создателей кампаний кибершпионажа между собой

ЛК проанализировала, связь создателей кампаний кибершпионажа между собой

Лаборатория Касперского проанализировала связь программы Turla, которая также известна как Snake или Uroburos, с другими известными кибершпионами. После выпуска отчетов по этой угрозе рядом компаний, работающих в сфере IT-безопасности, многие эксперты в данной области выступили с заключением о связи Turla и другого нашумевшего в свое время вредоносного ПО – так называемого Agent.BTZ. Специалисты глобального исследовательского центра «Лаборатории Касперского» выступают с анализом таких заключений.

В 2008 году червь Agent.BTZ заразил локальные сети Центрального командования вооруженных сил США на Ближнем Востоке и был назван самым худшим событием в компьютерной истории ВС США. Согласно некоторым источникам, Пентагон потратил почти 14 месяцев на ликвидацию последствий заражения сетей ВС, и в результате этот случай послужил толчком для создания Кибернетического командования США, внутреннего подразделения ВС США. Вредоносная программа, предположительно созданная в 2007 году, содержала функционал для поиска и отправки ценной информации с зараженных компьютеров в удаленный центр управления.

«Лаборатория Касперского» впервые столкнулась с вышеупомянутым зловредом Turla в марте 2013 года во время расследования  другого инцидента, связанного с применением крайне сложного руткита. Тогда же в ходе расследования специалисты «Лаборатории Касперского» обнаружили интересные факты, указывающие на то, что, по всей видимости, червь Agent.BTZ служил образцом для создателей наиболее технически продвинутого кибероружия – Red October, Turla, а также Flame и Gauss.

Тщательный анализ показал, что создатели Red October, очевидно, знали о функционале червя Agent.BTZ. Написанный ими в 2010-2011 модуль USB Stealer среди прочего ищет и копирует с USB-носителей архивы с накопленной червем информацией, а также его журнальные файлы. Turla в свою очередь использует те же, что и Agent.BTZ, имена файлов для ведения журнала собственных действий и точно такой же ключ для их шифрования. Наконец, программа Flame придерживается похожих с червем расширений файлов и также хранит украденную информацию на  USB-устройствах.

Приняв это во внимание, можно утверждать, что создатели вышеупомянутых кампаний кибершпионажа досконально изучили работу червя Agent.BTZ и переняли опыт для разработки собственных вредоносных программ со схожими целями. Однако это не дает возможности говорить о прямой связи между группами злоумышленников.

«Основываясь на тех данных, которыми мы владеем, нельзя сделать подобного заявления. Вся информация, использованная разработчиками этих вредоносных программ, была открыта широкой публике как минимум на момент создания Red October и Flame. Не были также секретом и названия файлов, в которых червь накапливал информацию с зараженных систем. Наконец, ключ шифрования, который идентичен в случаях Turla и Agent.BTZ, был обнародован еще в 2008-м. Неизвестно, с каких пор он был применен в Turla. С одной стороны, мы нашли его в образцах, созданных в этом и прошлом годах, с другой стороны, есть информация о том, что создание Turla началось в 2006, прежде чем был обнаружен образец Agent.BTZ. Вследствие этого вопрос о связи разработчиков кибероружия пока остается открытым», - заключил Александр Гостев, главный антивирусный эксперт «Лаборатории Касперского».

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

В Екатеринбурге лжемастера с сайтами на нейросетях берут втрое больше

В Екатеринбурге орудуют лжемастера, взимающие в два-три раза больше за ремонт бытовой техники. Они работают через онлайн-площадки и активно используют нейросети. Благодаря приёмам поисковой оптимизации эти ресурсы попадают в топ поисковой выдачи. Также мошенники размещают свои объявления на профильных классифайдах.

Как выяснило издание 66.RU, в городе действуют десятки мошеннических сервисов, которые завлекают клиентов рассказами о многолетнем опыте работы. Контент для таких сайтов зачастую создаётся с помощью нейросетевых инструментов.

Один из читателей издания обратился за ремонтом посудомоечной машины через сайт, найденный в поиске. Приехавший мастер выполнил работу, но потребовал 34 тысячи рублей — более чем в два раза выше среднерыночной стоимости.

Позже выяснилось, что указанный на сайте адрес не существует. Затем он был заменён на другой — в торговом центре, где никакой сервисной компании нет и никогда не было. Более того, лица сотрудников на сайте оказались сгенерированы нейросетью.

Журналисты обнаружили, что в верхней части поисковой выдачи по запросам о ремонте бытовой техники находятся сайты компаний, которые заявляют о многолетнем опыте, но зарегистрированы только в 2024–2025 годах. Это явное несоответствие указывает на мошеннический характер таких организаций.

На классифайдах также нашлись десятки однотипных объявлений с шаблонными положительными отзывами. Часто используются одни и те же фотографии — причём те же изображения встречаются в аналогичных объявлениях из других городов. В ряде случаев администрации сайтов уже начали блокировать такие публикации.

«Привлечь к ответственности или вернуть деньги в таких случаях крайне сложно. Фактически наказать человека, взявшего деньги, можно только в том случае, если ремонт не был проведён. Зная это, недобросовестные мастера формально выполняют какие-либо действия — иногда даже не связанные с реальной проблемой — или берут оплату наличными, чтобы было невозможно доказать сам факт передачи денег», — объяснил изданию адвокат Георгий Краснов.

Юрист рекомендует заранее согласовывать все условия и никогда не вносить предоплату. В случае завышения стоимости следует ссылаться на ранее достигнутые договорённости. Также важно проверять документы мастера.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru