Недавняя атака на польские банки связана с хак-группой Lazarus

Недавняя атака на польские банки связана с хак-группой Lazarus

Недавняя атака на польские банки связана с хак-группой Lazarus

В начале февраля 2017 года стало известно, что несколько польских банков пострадали от кибератаки. Инцидент получился не совсем обычным, так как малварь проникла в системы организаций через сайт государственного надзорного органа, Комиссии по финансовому надзору (Komisja Nadzoru Finansowego, KNF).

Как оказалось, неизвестные злоумышленники заранее разместили на сайте KNF (knf.gov.pl) вредоносный JavaScript-файл. Компрометацию ресурса не замечали больше недели, а инфекция приводила к скачиванию на машины посетителей сайта неназванного трояна удаленного доступа (remote access trojan, RAT).

Теперь специалисты компании Symantec и военно-промышленной корпорации BAE Systems сообщают, что заражение польских банков было частью куда более масштабного плана. Эксперты пишут, что кампания злоумышленников берет начало в октябре 2016 года, и она нацелена на различные организации из 31 страны мира. Хакеры действуют по методу watering hole, то есть заражают малварью сайты, которые часто посещают их цели, передает xakep.ru.

«Судя по всему, атакующие используют скомпрометированные сайты, чтобы перенаправить их посетителей к кастомному набору эксплоитов, который сконфигурирован таким образом, чтобы заражать только пользователей из списка, содержащего 150 разных IP-адресов. Данные IP принадлежат 104 организациям в 31 стране мира. Преимущественно это банки, однако среди них есть телекомы и интернет-компании», — пишут аналитики Symantec.

 

 

Замеченная экспертами кастомная малварь, использовалась для атак на организации в Польше, Мексике, Уругвае и так далее. Исследователи уже изучают эту малварь (Downloader.Ratankba) и хотя анализ еще не окончен, специалисты говорят, что им удалось обнаружить связь с хакерской группой Lazarus. Так, Ratankba связывается с управляющим сервером на eye-watch.in, откуда загружает Hacktool. И Hacktool, в свою очередь, демонстрирует код, очень похожий на инструменты хакерской группы Lazarus. Скриншоты можно увидеть ниже.

 

Telegram снял предупреждающую плашку с аккаунтов, использовавших Телегу

Telegram перестал помечать специальной плашкой аккаунты, которые использовали сторонний клиент Телега. Такая метка появилась в мессенджере в конце марта на фоне скандала вокруг Телеги.

На изменение обратил внимание телеграм-канал «Код Дурова». Тогда сообщалось, что в клиенте нашли признаки MITM-перехвата трафика.

Проще говоря, возникли подозрения, что переписки и данные пользователей могли проходить не совсем тем маршрутом, на который они рассчитывали.

История быстро стала неприятной для проекта. Через несколько дней Cloudflare пометил рабочие домены Телеги как шпионские. Затем у альтернативного клиента отозвали TLS-сертификат, после чего приложение удалили из App Store. Разработчики Телеги позже подали иск в ФАС к Apple.

Теперь плашка исчезла, произошло это примерно через неделю после закрытия проекта Телега. Разработчики сообщили о прекращении его существования, в том числе из-за внешних ограничений со стороны технологических платформ.

Формально исчезновение метки не означает, что все вопросы к истории с Телегой закрыты. Скорее Telegram убрал предупреждение после того, как сам клиент фактически сошёл со сцены.

Но сюжет получился показательный: сторонние клиенты мессенджеров могут выглядеть удобной альтернативой, пока внезапно не всплывают вопросы к маршруту трафика, сертификатам и тому, кто вообще стоит между пользователем и его перепиской.

RSS: Новости на портале Anti-Malware.ru