Антивор для ноутбуков LoJack используется Fancy Bear для кибершпионажа

Олег Иванов 03 Мая 2018 - 14:09

Домашние пользователи

...

LoJack для ноутбуков (LoJack for Laptops), специально разработанный инструмент, помогающий отслеживать и блокировать украденные ноутбуки, как оказалось, используется киберпреступной группировкой Fancy Bear, спонсируемой российскими властями.

LoJack помогает удаленно блокировать и отслеживать местоположение украденного ноутбука, а также удалять на нем все файлы. В первую очередь это решение предназначено для корпоративных ИТ-сред, которые обеспокоены кражей офисного оборудования, на котором могут храниться важные разработки.

Совсем недавно специалисты обратили внимание на то, что несколько исполняемых файлов LoJack обменивались данными с серверами, которые, предположительно, находятся под контролем Fancy Bear. Напомним, что Fancy Bear связывают с российским правительством.

В опубликованном Arbor Networks отчете утверждается, что пять исполняемых файлов приложения LoJack (rpcnetp.exe) связываются с четырьмя подозрительными серверами C&C. Трое из этих серверов в прошлом были связаны с Fancy Bear.

Эксперты полагают, что киберпреступники могли модифицировать копии LoJack, внедрив туда бэкдор. Таким образом, программа превращается в инструмент для шпионажа.

«Мы выявили небольшое количество модифицированных агентов этой программы», — говорит представитель команды Arbor Networks. — «Все это похоже на таргетированную операцию. Мы привлекли сторонних специалистов для расследования этого вопроса».

Все это вызывает беспокойство, поскольку программное обеспечение LoJack разработано таким образом, что оно остается в системах даже после замены жесткого диска. Кроме того, этот инструмент работает абсолютно незаметно.

«LoJack защищает захардкоденный URL с помощью однобайтового ключа XOR, однако он слепо доверяет содержимому конфигурации», — утверждают специалисты в отчете. — «Как только злоумышленник правильно изменит кнфигурацию, он сможет полностью подчинить себе инструмент».

Следующая главная новость »

Какую защиту веб-приложений использовать в 2026 году? Обсудим на эфире AM Live, присоединяйтесь! »

Екатерина Быстрова 22 Января 2026 - 08:53

Несанкционированный доступ Кибершпионаж Домашние пользователи Государство

Расследование ФБР показало, как офисный принтер может «донести» на вас

В США разворачивается история, больше похожая на шпионский сериал, чем на сухую сводку Минюста. И одну из ключевых ролей в ней сыграл офисный принтер. 9 января федеральные прокуроры предъявили обвинения Аурелио Луису Перес-Лугонесу — ИТ-специалисту подрядной компании, работавшей с государственными структурами.

Его обвиняют в незаконном хранении информации, связанной с национальной безопасностью. При этом речь не идёт о передаче секретных данных — по крайней мере, напрямую этого в материалах дела не утверждается.

Широкий резонанс история получила после того, как в рамках расследования агенты ФБР провели обыск у журналистки Washington Post Ханны Натансен. По данным Минюста, Перес-Лугонес переписывался с ней и обсуждал конфиденциальные темы. Натансен известна публикациями о влиянии администрации Дональда Трампа на федеральные ведомства.

Но самая неожиданная деталь всплыла в аффидевите (PDF) ФБР. Именно он показывает, каким образом следствие вышло на подозреваемого. Как утверждают правоохранители, Перес-Лугонес пытался вынести данные из SCIF — защищённого помещения для работы с секретной информацией — довольно хитрым способом.

Вместо прямой печати классифицированного отчёта он якобы делал скриншоты экрана, обрезал их и вставлял в документ Microsoft Word. Расчёт был простой: если печатается не секретный файл, а обычный Word-документ с картинками, принтерные логи не выдадут ничего подозрительного. Даже название файла он выбрал максимально нейтральное — вроде «Microsoft Word – Document1».

Однако расчёт не оправдался. Как выяснилось, системы контроля у работодателя Перес-Лугонеса позволяют не только видеть стандартные метаданные печати — имя файла, время и пользователя, — но и восстанавливать копии самих распечатанных документов. В результате следователи получили доступ к тем самым изображениям со скриншотами секретных материалов.

Кроме того, в материалах дела упоминается ещё один эпизод: подозреваемого якобы заметили за тем, как он открывает секретный документ и делает письменные заметки, постоянно переводя взгляд с экрана на блокнот. Каким образом это было зафиксировано, прямо не говорится, но контекст явно намекает на видеонаблюдение внутри защищённого помещения.

Какую защиту веб-приложений использовать в 2026 году? Обсудим на эфире AM Live, присоединяйтесь! »