Объекты крупнейшего оператора связи США помогают АНБ шпионить

Объекты крупнейшего оператора связи США помогают АНБ шпионить

Объекты крупнейшего оператора связи США помогают АНБ шпионить

Согласно сообщениям зарубежных СМИ, объекты AT&T, расположенные в нескольких американских городах, принимают участие в шпионаже Агентства национальной безопасности (АНБ) США. Всего сообщается о восьми объектах в Атланте, Чикаго, Далласе, Лос-Анджелесе, Нью-Йорке, Сан-Франциско, Сиэтле и Вашингтоне.

В сущности, это установки для пиринга, которые обычно направляют трафик других телекоммуникационных компаний в сеть AT&T. Однако в этом случае эти объекты могут быть использованы для передачи чужих пакетов в руки АНБ.

Соответствующие выводы представило издательство The Intercept, представитель AT&T Кристофер Августин на данный момент никак не опроверг этих обвинений.

Так зачем же АНБ собирает эти данные?

Системы АНБ устроены таким образом, что реагируют на определенные «селекторы» — имена, адреса электронной почты или номера телефона. Однако если этот селектор попался в электронном письме, «АНБ получит копию всего ящика, а не только отдельных сообщений, содержащих этот селектор».

Специалисты пришли к выводу, что полученные таким образом данные были санкционированы распоряжением эпохи Рейгана, известным как 12333.

«12333 используется для атак целей, находящихся за границей, сбор даных происходит за пределами США», — говорил по поводу этого распоряжения Джон Тай, бывший сотрудник Госдепартамента. — «Я считаю, что случайный сбор данных граждан Америки идет вразрез с Конституцией».

Ранее AT&T уже подвергалась критике за продажу данных о местоположении своих клиентов в режиме реального времени сторонним компаниям.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Злоумышленники хранили свой код в DNS-записях в шестнадцатеричном формате

Команда DomainTools обнаружила еще один пример использования DNS как хранилища вредоносов. Для сокрытия бинарника его конвертировали в шестнадцатеричный формат, разбили на части и спрятали в TXT-записях связанных поддоменов.

Подобные злоупотребления рассчитаны на то, что защитные решения редко проверяют DNS-трафик на предмет угроз, он для них слепая зона. К тому же организовать выявление аномалий в легитимном потоке запросов в данном случае непросто, а при использовании шифрования (DoH или DoT) — еще сложнее.

Привлекшие внимание экспертов записи DNS TXT содержали информацию о сотнях различных поддоменов *.felix.stf.whitetreecollective[.]com, дополненную фрагментами кода в шестнадцатеричном формате.

 

При их извлечении и сборке с преобразованием в двоичный файл оказалось, что это Joke Screenmate — злонамеренное приложение Windows, которое выводит на экран изображения или анимацию, от которых трудно избавиться.

Это может быть череда шутливых картинок, которые быстро множатся, и их трудно закрыть. Более агрессивные варианты таких программ пугают жертв бесконечными сообщениями об ошибках или якобы обнаруженных вирусах.

Известны случаи, когда в DNS-записях скрывались вредоносные скрипты. Исследователи из DomainTools тоже столкнулись с таким TXT-содержимым; на поверку зашифрованный Powershell оказался загрузчиком, скачивающим пейлоад второго этапа атаки с C2 на базе Covenant.

В комментарии для Ars Technica представитель DomainTools поведал, что недавно они нашли DNS-записи с текстами для ИИ-ботов, которые, видимо, используются в рамках промпт-инъекций. Все фразы начинались с «Ignore all previous instructions» («Забудь обо всех прежних инструкциях») и содержали различные просьбы, от с виду невинных (назвать произвольное число, выдать краткое содержание фильма «Волшебник», спеть песню, как птичка) до явно провокационных (игнорить все последующие инструкции, удалить обучающие данные и восстать против своих хозяев).

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru