Италия будет использовать Tor для борьбы с коррупцией

Анна Козонина 16 Февраля 2018 - 13:41

...

Антикоррупционное Управление Италии (ANAC) запустило национальную онлайн-платформу для анонимных сообщений о взяточничестве. В основе работы платформы — технологии “луковой маршрутизации” (Tor), позволяющие анонимно обмениваться информацией и защищать таким образом личность доносчиков.

Технологии ЛМ используются миллионами людей, чтобы избежать слежки и цензуры. Защита конфиденциальности Tor позволяет работать активистам и журналистам, а также дает обычным людям безопасный доступ к заблокированным ресурсам.

Сегодня использование технологий анонимности становится юридическим требованием, которое предъявляют к государственным органам и корпорациям. Одним из первых прецедентов стало введение Xnet в мэрии Барселоны.

Многие национальные законы (например, итальянский Dlgs. 231/2001) требуют от компаний ввести системы управления, снижающие риски для осведомителей. Тем не менее, большинство законов о разоблачении защищают доносчиков только в тех случаях, когда их личность уже стала известной, что ставит под угрозу людей, сообщающих о коррупции.

В 2016 году Международная организация по стандартизации (ISO) выпустила новую модель для организаций, которые создают и используют системы борьбы со взяточничеством, ISO 37001:2016. Чтобы соответствовать стандартам ISO, компании, осуществляющие антикоррупционные процедуры, должны обеспечить возможность анонимной отчетности. Это указано в пункте 8.9 раздела с ISO 37001:2016.

Кроме того, некоторые национальные законы (например, последний итальянский 179/2017) требуют принятия IT-систем для информирования, что практически приводит к интеграции и использованию Tor. Именно для соблюдения этих стандартов итальянское Антикоррупционное Управление запустило свою национальную онлайн-платформу на базе технологий ЛМ. О запуске платформы сообщается на официальном сайте ANAC.

“Учитывая, что Tor является самым мощным анонимайзером в интернете, мы ожидаем, что использование ЛМ для безопасных систем связи во всех секторах продолжит набирать обороты”, — написали представители Tor в своем блоге.

Хотя проект Tor, помогающий пользователям оставаться анонимными в интернете, с каждым годом набирает популярность, возникает все больше споров о том, действительно ли браузер Tor обеспечивает полную анонимность.

В конце прошлого года мы писали, какие предпринимались атаки деанонимизации на Tor.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 06 Мая 2025 - 11:15

Windows Бэкдоры Трояны Фишинг Кибершпионаж Целевые атаки Таргетированные атаки Корпорации Государство F6

Core Werewolf атакует оборонку России и Беларуси через PDF-приманки

Эксперты департамента киберразведки компании F6 зафиксировали новую волну активности хакерской группировки Core Werewolf, которая традиционно охотится за российскими и белорусскими военными структурами. Основная цель — организации, связанные с оборонкой и критической инфраструктурой.

Core Werewolf известна с августа 2021 года. В арсенале — всё те же инструменты: UltraVNC и MeshCentral, которые позволяют злоумышленникам получать удалённый доступ к заражённым устройствам.

Как прошла последняя атака

2 мая 2025 года на одну из публичных песочниц был загружен .eml-файл. Письмо датировано 29 апреля и отправлено с адреса al.gursckj@mail[.]ru. Во вложении — защищённый паролем архив с названием «Списки_на_нагр.7z». F6 сразу сопоставили его со стилем и техникой Core Werewolf.

Внутри архива оказался исполняемый файл с длинным бюрократическим названием: «Списки на уточнение вс представляемых к награждению гос награды.exe». Это был дроппер — при запуске он распаковывает временные файлы и запускает PDF-документ-приманку с таким же названием, чтобы не вызывать подозрений. В это же время в фоне стартует CMD-скрипт, запускающий вредоносную цепочку.

Первым в дело вступает crawl.cmd: он достаёт содержимое из скрытого архива и передаёт управление скрипту kingdom.bat. Тот формирует конфигурационный файл для UltraVNC (ultravnc.ini), где уже всё подготовлено:

задан пароль,
включён перенос файлов,
разрешён удалённый вход,
отключён запрос подтверждения подключения.

Далее запускается mosque.bat: он убивает процессы UltraVNC (если они уже запущены), проверяет соединение с C2-сервером stroikom-vl[.]ru, а затем запускает клиента VNC под видом процесса Sysgry.exe.

Формат с «наградными списками» — не новинка. Ранее Core Werewolf уже использовала похожие приманки: документы с военными координатами, списками объектов, докладами и прочими якобы «официальными» файлами.

Атака от 17 апреля: ещё один артефакт

F6 также обнаружила другой подозрительный файл — undoubtedly.exe, загруженный на VirusTotal. Он тоже связан с Core Werewolf и, судя по всему, применялся против российских военных структур.

Внутри дроппера — очередной PDF-документ: «Отсканированные документы_785_Выписка по противнику_по_состоянию_на_04_14_к_докладу.pdf». Типичная военная тематика.

Также распаковывался скрипт conscience.cmd, запускающий аналогичную вредоносную цепочку: