СМИ: российские хакеры взломали исследовательские центры США
Главная » Новости

СМИ: российские хакеры взломали исследовательские центры США

Александр Панасенко 30 Августа 2016 - 09:50
...
СМИ: российские хакеры взломали исследовательские центры США

Американские эксперты вновь заявили об атаках "поддерживаемых Россией" хакеров, которых ранее обвиняли во взломе баз данных Демократической партии США, сообщает профильный ресурс Defense One.

По данным издания, новым объектом атаки стали исследовательские центры, "специализирующиеся на России", включая Центр международных и стратегических исследований в Вашингтоне. При этом Defense One ссылается на Дмитрия Альперовича, основателя компании Crowd Strike, которая занимается киберзащитой этих организаций.

Специалисты этой фирмы якобы установили, что за новой попыткой взлома стоит группа Cozy Bear, известная также как APT29. Именно ее обвиняли в атаке на базу данных Демократической партии США.

На этот раз жертвами хакеров стали "менее пяти организаций и десяти сотрудников, изучающих Россию", пишет Defense One. Однако, по словам Альперовича, похитить информацию злоумышленникам не удалось благодаря своевременно принятым мерам, передает ria.ru.

Defense One напоминает, что американские специалисты в сфере кибербезопасности связывают Cozy Bear с российскими спецслужбами и обвиняют хакеров в атаках на системы Белого дома, госдепартамента и Пентагона.

Ранее сайт WikiLeaks опубликовал более 19 тысяч полученных в результате взлома электронных писем национального комитета Демократической партии США. Переписка свидетельствует, что партийные функционеры, вопреки правилам, высказывались в поддержку Хиллари Клинтон на праймериз в ущерб сенатору Берни Сандерсу.

Ответственность за взлом взял на себя хакер под ником Guccifer 2.0. Несмотря на то, что расследование ФБР продолжается, целый ряд представителей Демократической партии, в том числе президент США Барак Обама, не исключили связи хакеров с российскими властями, а также заявили, что это может быть выгодно республиканцу Дональду Трампу.

Пресс-секретарь президента России Дмитрий Песков заявил ранее, что обвинения в адрес Москвы абсурдны.

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Новый macOS-вредонос с подписью Apple Developer заменяет Ledger Live
Екатерина Быстрова 18 Июля 2025 - 10:29
macOS Трояны Домашние пользователи
Новый macOS-вредонос с подписью Apple Developer заменяет Ledger Live

Специалисты из Jamf Threat Labs нашли новый вариант вредоносной программы для macOS, которая умудрилась пройти все защитные механизмы Apple — она была и подписана, и заверена с использованием настоящего сертификата Apple Developer.

Вредонос назывался Gmeet_updater.app и притворялся обновлением для Google Meet. Распространялся через .dmg-файл — это классика для macOS.

Несмотря на то что приложение было «официально одобрено» Apple, для запуска всё равно использовалась социальная инженерия: жертве нужно было кликнуть правой кнопкой мыши и выбрать «Открыть» — обход Gatekeeper для неподписанных приложений, только тут подпись как бы была.

Программа запускала некое SwiftUI-приложение с названием «Technician Panel» — якобы для отвода глаз, а параллельно связывалась с удалённым сервером и подтягивала дополнительные вредоносные скрипты.

Что делает этот инфостилер:

  • ворует пароли из браузеров (Safari, Chrome, Firefox, Brave, Opera, Waterfox);
  • вытаскивает текстовые файлы, PDF, ключи, кошельки и заметки Apple;
  • охотится за криптокошельками (Electrum, Exodus, Atomic, Ledger Live);
  • делает слепок системы с помощью system_profiler;
  • заменяет приложение Ledger Live на модифицированную и не подписанную версию с сервера злоумышленника;
  • отправляет всё украденное на хардкоденный сервер hxxp[:]//45.146.130.131/log.

Кроме кражи, вредонос умеет задерживаться в системе: прописывает себя в LaunchDaemons, создаёт скрытые конфиги и использует второй этап атаки — постоянный AppleScript, который «слушает» команды с сервера злоумышленника. Среди них — выполнение shell-скриптов, запуск SOCKS5-прокси и самоуничтожение.

Вишенка на торте — базовая защита от анализа. Если вирус понимает, что его крутят в песочнице, он «молча» прекращает активность и в системе появляется фиктивный демон с аргументом Black Listed.

Jamf выяснили, что сертификат разработчика с ID A2FTSWF4A2 уже использовался минимум в трёх вредоносах. Они сообщили об этом Apple — и сертификат аннулировали. Но осадочек, как говорится, остался: зловред вполне мог обойти все базовые фильтры macOS.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
В России появилось первое импортонезависимое решение SDN
Новость
В России появилось первое импортонезависимое решение SDN
5,8 балла у лидеров и 4 у ретейла: индекс кибербезопасности России
Новость
5,8 балла у лидеров и 4 у ретейла: индекс кибербезопасности...
В FreeIPA нашли критическую уязвимость с оценкой 9,4 по CVSS
Новость
В FreeIPA нашли критическую уязвимость с оценкой 9,4 по CVSS

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.