Появились подробности сокрытой кибератаки на Microsoft в 2013 году

Александр Панасенко 17 Октября 2017 - 10:32

Корпорации

Microsoft

Вредоносные программы

Программы-вымогатели

Программы-шифровальщики

...

В 2013 году группа хакеров атаковала базу данных критических уязвимостей корпорации Microsoft. Об этом 17 октября сообщает Reuters со ссылкой на пять бывших сотрудников компании. Сама компания не рассказывала об этом случае публично.

В этой базе данных были описаны критические и незафиксированные уязвимости в некоторых из наиболее распространенных в мире программных продуктах, включая операционную систему Windows. Reuters пишет, что хакеры по всему миру жаждут получить такую информацию, потому что с ее помощью можно легко создавать инструменты для электронных взломов. «У плохих парней с внутренним доступом к такой информации буквально есть «отмычка» для сотен миллионов компьютеров по всему миру», — сказал Эрик Розенбах, который в 2013 году был заместителем помощника министра обороны США по киберзащите, пишет rtvi.com.

Microsoft не раскрыла степень атаки общественности и вообще отказалась обсуждать этот инцидент.

«Наши команды безопасности активно следят за кибер-угрозами, чтобы помочь нам расставить приоритеты и предпринять соответствующие действия для защиты клиентов», — В ответила корпорация на вопросы Reuters.

Бывшие сотрудники рассказали, что после этой атаки Microsoft ужесточила правила безопасности: базу данных убрали из корпоративной сети, а для доступа к ней организовали систему двойной аутентификации.

В 2017 году одна из критических уязвимостей стала основой для вируса-вымогателя WannaCry. Он поразил сотни тысяч компьютеров по всему миру. Наиболее уязвимыми к нему оказались компьютеры с операционной системой Windows 7. Попадая в устройство, вирус шифровал и блокировал все данные, требуя за их восстановление от $300 до $600.

Вирус остановил британский программист Маркус Хатчинс, который сумел найти в коде вируса механизм самоуничтожения — программа проверяла доступность двух интернет-доменов и в случае их наличия в сети полностью удалялась из компьютера. Хатчинс зарегистрировал оба домена на свое имя и таким образом заблокировал распространение вируса.

До этого было известно только об одном взломе большой базы данных от компании-производителя программного обеспечения. В 2015 году некоммерческий фонд Mozilla, который разрабатывает веб-браузер Firefox, заявил, что злоумышленники получили доступ к базе данных, в которой были десять серьезных и неуправляемых уязвимостей. Один из них использовался при атаке на пользователей Firefox. В отличие от Microsoft, Mozilla не скрывала этого и призвала своих клиентов принять меры.

Следующая главная новость »

Чем заменить Microsoft 365 и Google Workspace в 2026?
Регистрируйтесь на эфир!

Екатерина Быстрова 24 Апреля 2026 - 14:07

Трояны Домашние пользователи

Новый стилер крадёт сессии Telegram без паролей и СМС-кодов

Исследователи обнаружили новый экспериментальный стилер, который охотится не за паролями и cookies браузера, а за сессиями десктопной версии Telegram. Инструмент прятался в PowerShell-скрипте на Pastebin под видом исправленного обновления Windows.

Зловред ещё явно находится на стадии тестирования, поэтому аналитикам удалось проанализировать его «черновик» с открытыми токенами Telegram-бота, идентификатором чата и следами отладки.

Скрипт использует жёстко заданные учётные данные Telegram-бота и отправляет украденные данные через Telegram Bot API. Бот при этом назывался afhbhfsdvfh_bot, а в его описании значится «Telegram attacker» — не самый тонкий подход к маскировке.

После запуска скрипт собирает базовую информацию о системе: имя пользователя, хост и публичный IP-адрес через api.ipify[.]org. Эти данные он добавляет в подпись к архиву, чтобы оператор сразу понимал, откуда пришла добыча.

Главная цель — папки tdata у Telegram Desktop и Telegram Desktop Beta в AppData. Именно там хранятся долгоживущие ключи аутентификации MTProto. Если злоумышленник получает к ним доступ, он может перехватить сессию Telegram без пароля и СМС-кода.

Если такие папки находятся, скрипт завершает процесс Telegram.exe, чтобы снять блокировку файлов, упаковывает найденные данные в архив diag.zip во временной директории и отправляет его через метод sendDocument Telegram Bot API. Если основной способ отправки ломается, предусмотрен резервный вариант через WebClient: подпись с метаданными может потеряться, но сам архив всё равно уйдёт атакующему.

Исследователи нашли две версии скрипта. Первая содержала ошибку в механизме загрузки, а вторая уже корректно формировала запрос и добавляла базовую обработку ошибок. Кроме того, если Telegram на машине не найден, вторая версия всё равно отправляет уведомление оператору, фактически превращая каждый запуск в проверку доступности цели.

Признаков массового распространения пока не видно. Скрипт не обфусцирован, не содержит механизма закрепления в системе и не имеет полноценной схемы доставки. Более того, телеметрия по раскрытому токену не показала реальных отправок архивов diag.zip в период наблюдения. Всё это похоже скорее на лабораторные испытания, чем на активную кампанию.

Чем заменить Microsoft 365 и Google Workspace в 2026?
Регистрируйтесь на эфир!