Проблемой бекдора в коде ScreenOS занимается ФБР
Главная » Новости

Проблемой бекдора в коде ScreenOS занимается ФБР

Александр Панасенко 21 Декабря 2015 - 15:12
...

CNN сообщает, что ситуация с бекдором, обнаруженным в конце прошлой недели в операционной системе ScreenOS, явно сложнее, чем можно было предположить изначально. К расследованию подключилось ФБР, а жертвами бекдора и расшифровки VPN-трафика могли стать крупные предприятия  государственные ведомства.

На прошлой неделе поставщик средств обеспечения безопасности — компания Juniper Network сообщила, что в ходе внутреннего аудита их собственной операционной системы ScreenOS, специалисты  обнаружили бекдор неизвестного происхождения. Посторонний код нашли в ScreenOS начиная с версии 6.2.0r15 и до 6.2.0r18, а также от 6.3.0r12 и до 6.3.0r20.

Сотрудники Juniper Network пришли к выводу, что странный кусок кода, скорее всего, не является обычным багом, попавшим в продакшен случайно. Речь велась именно о бекдоре, который кто-то умышленно поместил в код операционной системы. Бекдор позволяет потенциальному хакеру прослушивать и расшифровывать VPN-трафик, проходящий через ScreenOS  и аппаратную платформу NetScreen, пишет xakep.ru.

По сообщению CNN, к расследованию случившегося подключились сотрудники ФБР. Пока нет официальных данных о том, какие правительственные учреждения или компании могли пострадать из-за компрометации ScreenOS. Департамент государственной безопасности как раз работает над выяснением данного вопроса. Однако собственный источник в правительстве подтвердил CNN, что случай очень серьёзный:

«Это всё равно, что похитить универсальный ключ от всех правительственных зданий сразу», — цитирует CNN.

Также CNN сообщает, что американские власти отрицают, что к появлению бекдора причастны спецслужбы США. В правительстве подозревают, что бекдор – дело рук зарубежных спецслужб и правительственных хакеров. Список подозреваемых, как всегда, возглавляют Россия и Китай.

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Вредонос под видом мода к Minecraft украл данные 1500 игроков
Екатерина Быстрова 18 Июня 2025 - 17:47
ТрояныУтечки информацииУмышленные утечки информацииКража данных Домашние пользователи
Вредонос под видом мода к Minecraft украл данные 1500 игроков

Если вы скачиваете моды к Minecraft с GitHub — самое время быть осторожным. Исследователи из Check Point обнаружили новую многоступенчатую вредоносную кампанию, нацеленную именно на игроков этой игры.

Всё начинается с якобы безобидного мода, а заканчивается кражей паролей, токенов и данных из криптокошельков.

Злоумышленники распространяют вредонос под видом модов под названиями Oringo и Taunahi — это так называемые «чит-скрипты». Работают они только в среде Minecraft, потому что написаны на Java и запускаются, если игра установлена.

Заражение происходит в несколько этапов:

  1. Игрок сам копирует вредоносный JAR-файл в папку с модами.
  2. При запуске Minecraft этот файл загружается вместе с остальными модами.
  3. Он скачивает второй этап заражения — ещё один JAR, который, в свою очередь, вытягивает .NET-программу-крадущую (инфостилер).

Причём вся передача команд и ссылок завуалирована — используется Pastebin с зашифрованным IP-адресом сервера.

Что может этот зловред?

Очень многое. После загрузки финального компонента начинается сбор:

  • токенов Discord, Minecraft, Telegram;
  • логинов и паролей из браузеров;
  • данных криптокошельков;
  • файлов с компьютера;
  • данных из приложений вроде Steam и FileZilla;
  • снимков экрана, буфера обмена и списка запущенных процессов.

Всё это отправляется обратно через Discord Webhook.

Кто за этим стоит?

Исследователи подозревают, что за атакой стоит русскоязычный злоумышленник. Об этом говорят артефакты на русском языке и часовой пояс (UTC+03:00) в коммитах на GitHub. По предварительным оценкам, уже пострадали более 1 500 устройств.

Вся эта кампания использует нелегальный сервис Stargazers Ghost Network — он позволяет размещать вредоносные репозитории на GitHub, маскируя их под взломанное ПО и игровые моды.

 

А что с KimJongRAT?

Параллельно исследователи из Unit 42 (Palo Alto Networks) сообщили о двух новых вариантах известного шпионского инструмента KimJongRAT. Один — в виде исполняемого файла (PE), второй — в PowerShell-реализации. Оба активируются через клик по LNK-файлу и загружают компоненты для кражи данных и нажатий клавиш. За этим стоит, предположительно, северокорейская группировка, связанная с кампаниями BabyShark и Stolen Pencil.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Количество атак на веб-сайты российских компаний удвоилось
Новость
Количество атак на веб-сайты российских компаний удвоилось
Майское обновление Telegram развязало руки злоумышленникам
Новость
Майское обновление Telegram развязало руки злоумышленникам
Роскомнадзор предложил методы обезличивания персональных данных
Новость
Роскомнадзор предложил методы обезличивания персональных дан...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.