ЛК выявила новые характеристики атак, поддерживаемых правительствами

Александр Панасенко 12 Марта 2015 - 10:24

...

В процессе изучения вредоносной платформы EquationDrug, использовавшейся в атаках нашумевшей Equation Group, специалисты «Лаборатории Касперского» выявили ряд новых особенностей, которые отличают спонсируемые государствами кампании кибершпионажа от рядовых киберпреступных операций.

Атаки, поддерживаемые государственными органами, становятся все более сложными: организаторы не только тщательно отбирают интересующих их жертв, но также стремятся к увеличению числа программных компонентов используемой платформы, что позволяет как можно дольше скрывать свое присутствие в зараженной системе. Именно такой подход позволяет атакующим без помех осуществлять свои операции кибершпионажа на протяжении многих лет.

Самые современные платформы для атак имеют множество встраиваемых модулей, позволяющих применять широкий спектр вредоносных инструментов и, более того, подбирать наиболее подходящий набор зловредов в зависимости от особенностей конкретной жертвы и той информации, которой она владеет. Так, платформа EquationDrug, по оценкам «Лаборатории Касперского», содержит 116 различных программных модулей.

Помимо этого, спонсируемые государствами кампании заметно отличаются от прочих атак своими масштабами. Как известно, киберпреступники стремятся охватить как можно больше пользователей, именно поэтому они часто используют массовые рассылки сообщений с вредоносными вложениями или целенаправленно заражают популярные сайты. В отличие от них, атакующие, поддерживаемые правительствами, наносят точные и хорошо продуманные удары по небольшому числу заранее избранных жертв.

В качестве «оружия» в подобных атаках всегда используются уникальные вредоносные программы, создаваемые с учетом потребностей операции. Организаторы даже могут установить настройки, запрещающие использование зловреда за пределами конкретного зараженного компьютера. В то же время рядовые киберпреступники обычно не брезгуют использовать возможности открытого и доступного вредоносного кода, например, распространенных троянцев Zeus или Carberp.

Киберпреступники способны заразить тысячи пользователей по всему миру, но они не имеют возможности проанализировать, кто их жертвы и какой информацией они владеют, поэтому они применяют универсальное вредоносное ПО, запрограммированное на кражу наиболее ценной информации: паролей, номеров кредитных карт и т.п. В таких случаях злоумышленники также стремятся как можно скорее отправить данные с зараженного компьютера на свой сервер – и именно эти особенности привлекают внимание защитных программ, установленных на компьютерах потенциальных жертв.

В свою очередь, специалисты, стоящие за кибератаками с государственной поддержкой, обладают всеми необходимыми ресурсами для сбора и хранения на зараженном компьютере всей интересующей их информации – они не ограничены ни во времени, ни в объемах собираемых данных. Эти атакующие не привлекают внимание защитного ПО, поскольку старательно избегают заражения случайных пользователей. Зачастую они применяют инструменты удаленного контроля системы, которые позволяют копировать любую информацию в любых объемах. Однако слабое место есть и в этом подходе – перемещение больших массивов данных способно замедлить сетевое соединение, что в свою очередь может вызвать подозрение.

«Организаторы финансируемых государствами атак, стремятся создавать более стабильные, надежные и незаметные инструменты кибершпионажа, и связано это с тем, что эксперты в области информационной безопасности все чаще стали обнаруживать их деятельность. Именно поэтому теперь больше внимания они уделяют такому способу «упаковки» вредоносного кода, который позволял бы им на лету подстраиваться под конкретные системы жертв и обеспечивал бы возможность хранить все компоненты и данные в зашифрованном виде. Другими словами, поддерживаемые правительствами кампании кибершпионажа сегодня опираются в первую очередь на многомодульность и сложность архитектуры платформ для атак, и уже потом – на их функциональность», – поясняет Костин Райю, руководитель глобального центра исследований и анализа угроз «Лаборатории Касперского».

Следующая главная новость »

Удалённый доступ 2026: почему VPN устарел и что вместо него?
Регистрируйтесь на эфир!

Яков Шпунт 12 Мая 2026 - 10:24

Соответствие законодательству РФ Общее

Спрос на рекламу в Telegram снизился до 12%, но рынок не рухнул

Массового обрушения рынка рекламы в Telegram не произошло. Снижение спроса не превышает 12% и в основном затронуло сферы, где особенно важна визуальная составляющая: моду и стиль, кулинарию, интерьер и строительство. При этом эффективность рекламы, напротив, скорее выросла.

Такую оценку «Газете.Ru» дала руководитель отдела контентного продвижения и инфлюенс-маркетинга E-Promo Ксения Голубева.

Ключевым фактором стало разрешение размещать рекламу на платформе до конца года. При этом каналы активно перестраиваются: пересматривают частоту публикаций, формат контента и рекламные интеграции.

Ограничения слабо сказались и на активности авторов каналов:

«По данным WhoIsBlogger на конец марта, полностью прекратили публикации лишь около 2% каналов — это очень небольшая доля для такой чувствительной среды. Большинство авторов продолжает работать, пусть и более осторожно».

В марте объём публикуемого контента снизился по сравнению с февралем заметнее — более чем на 12%. Вместе с ним сократилась и рекламная активность. Однако к драматическим последствиям это не привело: по оценке Ксении Голубевой, каналы скорее оптимизируют частоту размещений и аккуратнее работают с рекламодателями.

Сильнее всего пострадали сегменты, где важен визуальный контент: мода, лайфстайл, интерьер, строительство и кулинария.

«Такие форматы сильнее зависят от стабильного трафика. При любом снижении охвата именно визуальный контент проседает быстрее. Мы уже видим, как часть рекламодателей и авторов в этих нишах переориентируются на более простые текстовые форматы, которые дешевле в производстве и устойчивее к колебаниям трафика», — рассказала Ксения Голубева.

При этом эффективность рекламы даже выросла за счёт снижения конкуренции. Кроме того, оставшиеся игроки получили более выгодные условия размещения.

В то же время несколько усложнился таргетинг. Причиной стало использование средств обхода блокировок, из-за чего снижается точность геотаргетинга по отдельным регионам и городам.

По мнению эксперта, дальше ситуация будет развиваться по сценарию, похожему на историю с Instagram (принадлежит признанной в России экстремистской и запрещённой корпорации Meta). Сокращение рекламы, вероятно, пройдёт в две волны: сначала уходят самые осторожные игроки, а следующая волна возможна позже, когда ограничения окончательно закрепятся и оставшиеся участники рынка пересоберут свои стратегии. Однако резкого падения не ожидается: скорее произойдёт перераспределение рынка между другими площадками.

Удалённый доступ 2026: почему VPN устарел и что вместо него?
Регистрируйтесь на эфир!