Symantec связывает ЦРУ с кибератаками в 16 разных странах мира

Symantec связывает ЦРУ с кибератаками в 16 разных странах мира

Symantec связывает ЦРУ с кибератаками в 16 разных странах мира

Специалисты компании Symantec сообщают, что в ходе изучения данных Vault 7 (серии публикаций Wikileaks, в рамках которой были обнародованы секретные документы и хакерские инструменты ЦРУ) они пришли к выводу, что ЦРУ связано как минимум с 40 атаками на различные предприятия и организации в 16 странах мира.

Исследователи пишут, что тщательный анализ опубликованных документов позволяет связать ЦРУ с хакерской группой, известной под названием Longhorn. Эксперты знают о существовании Longhorn с 2014 года, однако улики указывают на то, что группировка активна с как минимум с 2011 года (вероятно, даже дольше — с 2007 года).

«Инструменты, которые использует Longhorn, полностью соответствуют хронологии и техническим спецификациям, описанным в документации, раскрытой Wikileaks. Группировка Longhorn применяет те же криптографические протоколы, что описаны в бумагах Vault 7, а также следует “утекшим” инструкциям, направленным на избежание обнаружения. Учитывая сходство инструментов и техник, почти не остается сомнений в том, что активность Longhorn и [деятельность], описанная в документах Vault 7, это дело рук одной и той же группы», — пишут специалисты Symantec, передает xakep.ru.

Аналитики конкретизируют свои слова, поясняя, какие именно совпадения кажутся им подозрительными. К примеру, в отчете перечислены следующие пункты:

  • троян Trojan.Corentry очень похож на инструмент, фигурирующий среди бумаг Vault 7 под названием Fluxwire. Более того, журнал изменений Fluxwire полностью соответствует появлению новых функций в Corentry;
  • вплоть до 2014 года ЦРУ использовало GCC для компиляции Fluxwire, а затем переключилось на MSVC, что полностью совпадает с найденными образцами Corentry;
  • еще один инструмент ЦРУ — Fire and Forget, использующийся для user-mode инжектов пейлоада Archangel, по поведению схож с малварью Backdoor.Plexor, ранее обнаруженной Symantec;
  • криптография в решениях ЦРУ полностью соответствует методам, которые примеряет Longhorn:
    • внутренняя криптография опирается на SSL, чтобы избежать MitM-атак;
    • обмен ключами производится один раз за соединение;
    • используется AES с 32-битным ключом.

По данным Symantec, за последние годы группа Longhorn совершила по меньшей мере 40 кибершпионских атак на предприятия и организации в 16 разных странах мира, включая страны Европы, Азии, Африки и Ближнего Востока. За это время от рук хакеров пострадали финансовые учреждения, телекомы, энергетические и аэрокосмические предприятия, образовательные учреждения и многие другие.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Отключение Skype запустит волну мошенничеств и фишинга

Эксперты по кибербезопасности предупреждают: отключение Skype и переход пользователей на альтернативные платформы могут спровоцировать волну фишинговых атак и распространения вредоносных программ.

Skype прекратил работу 5 мая. Об этом стало известно ещё в конце февраля. В качестве замены Microsoft предлагает сервис Teams, включая бесплатную версию с базовым функционалом. Компания также пообещала сохранить пользовательские данные из Skype до января 2026 года.

Как отметила инженер-аналитик лаборатории исследований кибербезопасности компании «Газинформсервис» Ирина Дмитриева, отключение Skype может привести к резкому росту фишинговой активности. Мошенники будут эксплуатировать тревожность пользователей, опасающихся потерять свои данные.

В рассылках могут использоваться темы вроде: «Перенесите данные Skype в Teams», «Критические обновления Skype для миграции» или «Техническая поддержка по переносу данных». Такие сообщения будут вести на фальшивые сайты, замаскированные под ресурсы Microsoft, с целью кражи корпоративных учётных данных.

«Главный упор в подобных фишинговых письмах — это срочность: например, утверждение, что “журналы чатов будут удалены, если не выполнить переход немедленно”. Для убедительности во вложении могут находиться “инструкции”, содержащие вредоносный код», — поясняет Ирина Дмитриева.

Она сравнивает ситуацию с аналогичными событиями 2020 года, когда после прекращения поддержки Flash Player злоумышленники массово рассылали вредоносные файлы под видом обновлений. То же самое происходило при миграции с Hangouts на Google Chat.

Эксперт компании «Код Безопасности» Максим Александров предупреждает: к таким письмам могут прилагаться вредоносные ссылки или даже установочные файлы, замаскированные под легитимные инструменты.

По словам Ирины Дмитриевой, злоумышленники будут распространять зловреды под видом утилит для упрощения миграции на Teams. Возможна также рассылка вредоносных расширений в чатах, маскирующихся под техподдержку.

В зоне особого риска — многолетние активные пользователи Skype, которые только сейчас узнали об отключении сервиса. У многих из них накоплены объёмные архивы переписок, и они могут стать лёгкой добычей мошенников.

Особенно уязвимы малые и средние компании, для которых отключение привычного сервиса может нарушить бизнес-процессы.

«Для неопытных ИТ-специалистов попытка переноса данных может обернуться переходом по фишинговым ссылкам с предложениями “быстрой и лёгкой миграции” — то есть с установкой вредоносного ПО в комплекте. Итогом может стать утечка корпоративной информации», — подчёркивает Ирина Дмитриева.

По словам эксперта «Газинформсервиса», в случае крупных организаций ситуацией могут воспользоваться APT-группировки. Потенциальными точками входа станут целевые фишинговые атаки на администраторов, а также уязвимости в API-интеграциях.

Максим Александров рекомендует полностью удалить Skype. Любое неподдерживаемое ПО представляет угрозу безопасности. Новые приложения следует устанавливать исключительно из официальных магазинов.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru