Хакеры полгода скачивали данные японского института ядерной физики

Хакеры полгода скачивали данные японского института ядерной физики

Хакеры полгода скачивали данные японского института ядерной физики

Центр исследований изотопов водорода, работающий при японском Университете Тояма, на протяжении полугода подвергался кибератакам, в результате которых могли быть похищены большие объемы данных. Об этом сообщила в понедельник газета "Иомиури".

Впервые университет сообщил о факте несанкционированного доступа к файлам, содержащим результаты исследований, в июне этого года. По предварительным данным, электронные письма, содержащие вирусы, точечно рассылались сотрудникам университета в ноябре 2015 года, пишет tass.ru.

К настоящему времени удалось выяснить, что в марте этого года с компьютеров исследовательского центра дистанционно были отправлены файлы, касающиеся методов извлечения радиоактивной воды из помещений аварийной АЭС "Фукусима-1". Кроме того специалистам удалось выяснить, что злоумышленники пытались найти на серверах института файлы, содержание слова "Международное агентство по атомной энергии (МАГАТЭ)".

По данным Министерства образования, науки и технологий, секретных данных среди этих файлов не содержалось. Однако в ходе расследования удалось установить, что в период с момент заражения компьютеров до конца 2015 года хакеры могли отправить себе архив, содержащий более 1000 документов. Какая информация могла содержаться в них, неизвестно.

В университете также опасаются, что злоумышленники могли похитить личные данные исследователей, причем не только самого центра Университета Тояма, но и других центров, с которыми проводились совместные исследования.

В последнее время японские государственные и частные учреждения все чаще становятся объектами целевых кибератак. За первое полугодие было зафиксировано более 1950 случаев массовой рассылки спам-писем, содержащих вирусы, а также DDoS-атак. В общей сложности массированным кибернетическим атакам злоумышленников подверглись сайты 36 японских организаций и ведомств, включая Министерство по административным делам и коммуникациям и столичный аэропорт Ханэда. Общее же число кибератак в 2015 году превысило 54,5 млрд.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Злоумышленники хранили свой код в DNS-записях в шестнадцатеричном формате

Команда DomainTools обнаружила еще один пример использования DNS как хранилища вредоносов. Для сокрытия бинарника его конвертировали в шестнадцатеричный формат, разбили на части и спрятали в TXT-записях связанных поддоменов.

Подобные злоупотребления рассчитаны на то, что защитные решения редко проверяют DNS-трафик на предмет угроз, он для них слепая зона. К тому же организовать выявление аномалий в легитимном потоке запросов в данном случае непросто, а при использовании шифрования (DoH или DoT) — еще сложнее.

Привлекшие внимание экспертов записи DNS TXT содержали информацию о сотнях различных поддоменов *.felix.stf.whitetreecollective[.]com, дополненную фрагментами кода в шестнадцатеричном формате.

 

При их извлечении и сборке с преобразованием в двоичный файл оказалось, что это Joke Screenmate — злонамеренное приложение Windows, которое выводит на экран изображения или анимацию, от которых трудно избавиться.

Это может быть череда шутливых картинок, которые быстро множатся, и их трудно закрыть. Более агрессивные варианты таких программ пугают жертв бесконечными сообщениями об ошибках или якобы обнаруженных вирусах.

Известны случаи, когда в DNS-записях скрывались вредоносные скрипты. Исследователи из DomainTools тоже столкнулись с таким TXT-содержимым; на поверку зашифрованный Powershell оказался загрузчиком, скачивающим пейлоад второго этапа атаки с C2 на базе Covenant.

В комментарии для Ars Technica представитель DomainTools поведал, что недавно они нашли DNS-записи с текстами для ИИ-ботов, которые, видимо, используются в рамках промпт-инъекций. Все фразы начинались с «Ignore all previous instructions» («Забудь обо всех прежних инструкциях») и содержали различные просьбы, от с виду невинных (назвать произвольное число, выдать краткое содержание фильма «Волшебник», спеть песню, как птичка) до явно провокационных (игнорить все последующие инструкции, удалить обучающие данные и восстать против своих хозяев).

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru