Исследователи из компании Palo Alto Networks наткнулись на троян под OS X. По их мнению, этот троян напрямую связан с кибершпионской группой из России, которая замешана в атаках, направленных на авиационно-космической промышленности.
Вредоносная программа, получившая название , судя по всему, была разработана бандой, состоящих из следующих имен: Sofacy, Pawn Storm, APT28, Sednit, Fancy Bear и Tsar Team. Эти имена были связаны с многочисленными атаками, направленными на правительство США, политические партии, парламент Германии и Всемирное антидопинговое агентство (WADA).
По данным компании Palo Alto Networks, атака Komplex начинается с документа-приманки который отображается приложением предварительного просмотра в OS X и дроппером трояна. Дроппер предназначен для выполнения основной вредоносной функции, он отвечает за настройку ОС таким образом, чтобы троян запускался вместе с ее стартом.
После того, как вредонос заразил систему, он устанавливает связи со своим командным центром и собирает системную информацию. Троянец позволяет злоумышленнику выполнять произвольные команды и скачивать дополнительные файлы на зараженную машину.
Анализ Palo Alto Networks, показал, что Komplex, скорее всего, является тем же самым трояном, который BAE Systems в своем блоге в июне 2015 года. На тот момент он распространялся благодаря уязвимости в MacKeeper.
Эксперты также обнаружили связь Komplex с другим трояном – Carberp. Carberp атаковал правительство США и предназначался для ОС Windows. Специалисты выделили несколько общих черт: логика генерации URL, расширение файлов, метод шифрования и дешифрования и проверка подключения к интернету.
«Основываясь на этих наблюдениях, мы считаем, что автор Carberp использовал тот же код, чтобы создать Komplex» - говорится в блоге Palo Alto Networks.
Также эксперты выяснили, что некоторые домены командного центра Komplex связаны с аналогичными у Carberp.
Palo Alto Networks также сообщили, что обнаружили Komplex в начале августа. Судя по всему, в сравнении с образцом, проанализированным BAE Systems в прошлом году, троян не претерпел существенных изменений. Однако злоумышленники перешли от использования уязвимости MacKeeper к использованию подставных документов.
Эксперты считают, что основной целью авторов этого трояна является авиационно-космическая промышленность.
Вчера вечером, 27 октября, на сайте Интерфакс-ЦРКИ появилось сообщение о грядущем заседании совета директоров «Ростелекома». В повестку дня включен вопрос о «прекращении участия» ПАО в неназванной компании.
Наблюдательный совет должен также зафиксировать согласие на совершение сделки, связанной с отчуждением активов юрлица XXX. Как выяснил «Ъ», под этим условным обозначением может скрываться ГК «Солар».
Доля участия «Ростелекома» в уставном капитале этой дочки (2,9 млн руб.) — 100%. Неделю назад АО «Солар Секьюрити» подало в ФНС РФ заявление о внесении изменений в соответствующую запись в ЕГРЮЛ; назначенный срок исполнения — 28 октября.
Не исключено, что отказ телеоператора от дальнейшего участия в ГК «Солар» связан с подготовкой ее выхода на IPO.
Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017 Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.
