Касперский: русскоязычные группы стоят за самыми сложными кибератаками

Александр Панасенко 22 Июня 2017 - 09:46

Общее

Вредоносные программы

Вирусы

Программы-вымогатели

Программы-шифровальщики

Кибервойны

...

Касперский: русскоязычные группы стоят за самыми сложными кибератаками

Основатель и гендиректор «Лаборатории Касперского» Евгений Касперский считает, что за самыми сложными кибератаками стоят в основном русскоязычные группы. Соответствующее мнение он высказал в интервью газете «Коммерсант».

«По сути, мы можем делать только языковую атрибуцию. Все, что мы видим, это компьютерные данные: приложения, трафик, какие-то коннекты, некоторые языковые особенности или временные зоны. Очень часто оказывается, что в русскоязычных бандах есть не только россияне, но и украинцы, люди из Восточной Европы, то есть она по сути международная. Но да, за самыми сложными и профессиональными криминальными атаками стоят русскоязычные группы», — полагает Касперский.

Кроме того, по словам Касперского, в хакерской среде, помимо русского, «громче всего» слышны «правильный родной английский и китайский», передает ren.tv.

«Это самые заметные представленные языки, но, кроме них, полно других», — заключил Касперский.

По его словам, компания ЛК всегда жила «с этим шлейфом про русских хакеров».

«Быть российской компанией на внешних рынках никогда не было легко. Когда мы только выходили на западноевропейский рынок, начинали принимать участие в первых выставках, к нам подходили и спрашивали с недоверием: «Русская софтверная компания? Что, такое бывает?» Теперь к этому привыкли, но начали добавлять: «А, русские хакеры!» Ну и что? Практически ничего не поменялось», — пояснил Касперский.

При этом Евгений Касперский считает, что угроза третьей мировой войны из-за кибератак становится реальной, поэтому на кибероружие мировым державам стоит обратить пристальное внимание.

"Я надеюсь, что кибероружие никогда не будет применено одним государством против другого или альянсом против альянса. Потому что кибероружие — это штука очень опасная, во всяком случае из того, что я знаю. Думаю, будет так же, как с ядерным оружием", — рассказал Касперский.

Любое государство может скопировать кибероружие, если наймет хакеров. По его словам, истинная опасность заключается в доступности — специалисты могут разобраться с образцом и создать аналог.

Следующая главная новость »

Знай своего врага: как работает киберразведка в 2026 году?
Регистрируйтесь на эфир!

Татьяна Никитина 27 Февраля 2026 - 16:47

Бэкдоры Целевые атаки Таргетированные атаки Корпорации Государство Лаборатория Касперского

Действующая в России кибергруппа Head Mare обновила Windows-бэкдор

В этом месяце хактивисты Head Mare провели еще одну вредоносную рассылку с прицелом на российские организации. При разборе атак эксперты «Лаборатории Касперского» обнаружили новый вариант трояна PhantomCore.

В предыдущей серии имейл-атак, тоже февральских, группировка Head Mare пыталась заселить в российские корпоративные сети схожий Windows-бэкдор PhantomHeart.

Новые письма-ловушки злоумышленники рассылали от имени некоего НИИ, предлагая его услуги в качестве подрядчика. Вложенный архив под паролем содержал несколько файлов с двойным расширением .pdf.lnk.

При запуске эти ярлыки действуют одинаково: автоматически скачивают с внешнего сервера документы-приманки и файл USOCachedData.txt. Загрузчики различаются лишь ссылками, по которым они работают.

Невинный на вид USOCachedData.txt на самом деле скрывает DLL обновленного PhantomCore. Анализ образца (результат VirusTotal на 23 февраля — 34/72) показал, что новобранец написан на C++, строки кода зашифрованы путем побайтового XOR, а основной задачей трояна является обеспечение удаленного доступа к консоли в зараженной системе.

При подключении к C2-серверу вредонос отправляет два POST-запроса с данными жертвы для регистрации и ожидает команд. В ответ он получает координаты архива с TemplateMaintenanceHost.exe — модулем для создания туннеля, который оседает в папке %AppData% и обживается через создание нового запланированного задания.

Написанный на Go компонент TemplateMaintenanceHost.exe отвечает за запуск утилиты ssh.exe, которая может работать как SOCKS5-прокси и по дефолту включена в состав новейших Windows. Итоговый туннель открывает злоумышленникам возможность подключаться к другим машинам в той же локальной сети.

По данным Kaspersky, новые поддельные письма Head Mare были разосланы на адреса сотен сотрудников российских госучреждений, финансовых институтов, промышленных предприятий и логистических компаний.

Знай своего врага: как работает киберразведка в 2026 году?
Регистрируйтесь на эфир!