CNN: Русские хакеры поместили цифровую бомбу в NASDAQ

Миллиард долларов на кибербезопасность не уберег NASDAQ от трояна

Кирилл Токарев 18 Июля 2014 - 11:51

...

Сервера биржи NASDAQ были инфицированы вредоносным программным обеспечением, которое воспользовалось двумя секретными уязвимостями нулевого дня. Несмотря на то, что организация потратила десятки миллионов на усиление компьютерной защиты, ее инфраструктура все равно осталась уязвимой для нападений. Произошло это в феврале 2011 года, а сегодня были опубликованы подробности страшного нападения.

В 2010 ФБР обнаружила странный сетевой трафик, который выходил из NASDAQ. Он показывал, что на сервера биржи установлено вредоносное программное обеспечение. Правоохранительные органы тут же встретились с представителями биржи. Как оказалось, маклеры знали об утечке, но не посчитали нужным сообщить о ней. За этим последовало расследование, которое проводили совместно ФБР, АНБ, ЦРУ и казначейство США. Поиски злоумышленников велись на протяжении 5 месяцев, но не увенчались успехом.

Bloomberg утверждает, что вредоносное программное обеспечение полагалось на две бреши в системе безопасности, которые не могли закрыть отдельными патчами. Не сообщается, какое именно программное обеспечение было взломано. Анализ кода нападающего вируса показал, что вирус очень похоже на приложения, написанные Russian Federal Security Service и предназначенные для слежки. АНБ сообщает, что вирус имел возможность всерьез навредить работе биржи. CNN уже назвала подобную атаку "русской цифровой бомбой".

Впрочем, журналисты Bloomberg не говорят, что в атаке была виновата именно Россия. Внедрить вирус мог кто угодно. Другое дело, что разбираться в атаке было чрезвычайно сложно, из-за того что на бирже практически не следили за безопасностью. По большей части в организации отсутствовали ежедневные серверные логи, которые могли бы пролить свет на происходящее.

После анализа трафика, специалисты обнаружили несколько инфекций. По их предположению, вирус сливал информацию с биржи. Кто стоял за этим нападением до сих пор неизвестно.

Полицейские проверили, не использовалась ли похожая инфекция для атаки на некоторые американские банки. Большинство банков остались чистыми, хотя далеко не все финансовые компании согласились принять участие в этом расследовании.

В феврале 2011 NASDAQ предупредила своих клиентов о том, что на ее инфраструктуру осуществляется кибер-нападение. В октябре того же года были раскрыты дополнительные подробности. Тогда руководитель NASDAQ Роберт Греифельд (Robert Greifeld) сказал, что его организация потратила около $1 млрд на компьютерную безопасность. Остается только гадать, куда ушли немаленькие средства.

Следующая главная новость »

Сбои, инциденты, простои: как мониторить ИТ в 2026?
Регистрируйтесь на эфир!

Екатерина Быстрова 22 Мая 2026 - 14:09

Android Потенциально опасные программы Рекламные программы Домашние пользователи

Исследователи из zLabs раскрыли крупную вредоносную кампанию против пользователей Android. Злоумышленники распространяли почти 250 вредоносных приложений, которые тайно подписывали жертв на платные мобильные сервисы через биллинг оператора.

Маскировка была максимально попсовая: фейковые приложения выдавали себя за Facebook, Instagram (Facebook и Instagram принадлежат корпорации Meta, признанной экстремистской и запрещённой в России), TikTok, Minecraft, Grand Theft Auto и другие узнаваемые сервисы.

Пользователь думал, что ставит игру или соцсеть, а на деле получал карманного подписочного паразита.

Главная хитрость кампании — выборочная атака по сим-карте. Зловред проверял мобильного оператора жертвы по заранее заданному списку. Если симка подходила, запускалась схема с платной подпиской. Если нет — приложение показывало безобидный контент и не палилось.

Дальше начиналась автоматика. Вредоносное приложение открывало скрытые WebView, внедряло JavaScript, нажимало нужные кнопки на страницах оператора, запрашивало одноразовые коды и подтверждало подписку. Для перехвата одноразовых кодов использовался легитимный механизм Google SMS Retriever API.

Чтобы платёж точно прошёл через мобильную сеть, зловред мог принудительно отключать Wi-Fi. А данные об устройстве, операторе, разрешениях и мошеннических действиях отправлялись злоумышленникам через телеграм-каналы.

По данным zLabs, кампания активна с марта 2025 года. Исследователи выделили три варианта зловреда: от автоматического подписочного движка до версии с многоступенчатой атакой, кражей cookies и мониторингом действий в реальном времени.

В кампании также нашли как минимум 12 коротких премиальных СМС-номеров, связанных с платными подписками у разных операторов. А ещё у злоумышленников была система трекинга: они отслеживали, через какие площадки — TikTok, Facebook, Google и другие — заражения идут лучше. Маркетинг, только грязный.

Сбои, инциденты, простои: как мониторить ИТ в 2026?
Регистрируйтесь на эфир!