АНБ-эксплойт DoublePulsar адаптирован для атак систем Windows IoT

АНБ-эксплойт DoublePulsar адаптирован для атак систем Windows IoT

АНБ-эксплойт DoublePulsar адаптирован для атак систем Windows IoT

Исследователь в области безопасности, известный под псевдонимом Capt. Meelo модифицировал инструмент взлома DoublePulsar, используемый АНБ, для работы под операционной системой Windows IoT (ранее известной как Windows Embedded).

DoublePulsar — инструмент, разработанный Агентством национальной безопасности (АНБ) США. Он был обнародован киберпреступной группой Shadow Brokers, которой удалось украсть DoublePulsar у агентства.

По сути, DoublePulsar представляет собой пейлоад режима ядра, который действует в качестве бэкдора в скомпрометированных системах. DoublePulsar предназначен для использования только в связке с другими инструментами АНБ.

То есть схема атаки должна была выглядеть так: операторы АНБ используют фреймворк FuzzBunch (также слит Shadow Brokers) вместе с пакетом эксплойтов (EternalBlue, EternalSynergy, EternalRomance), чтобы получить доступ к системе, а затем уже в ход идет DoublePulsar.

Подробный анализ оригинального семпла DoublePulsar доступен здесь.

Когда DoublePulsar впервые был опубликован, он работал со всеми версиями Windows, за исключением Windows 10. Злоумышленники сразу же начали проверять его эффективность, в итоге специалисты зафиксировали более 36 000 компьютеров, зараженных DoublePulsar.

К слову, DoublePulsar обнаруживается антивирусными продуктами.

Однако после модификации кода, которую совершил на этой неделе Capt. Meelo, этот вредонос можно использовать для атак систем Windows IoT. Эту систему используют IoT-устройства, POS-терминалы и банкоматы.

В обновлении MS17-010 проблема DoublePulsar для этих систем устраняется.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

В Московском регионе задержаны предполагаемые авторы вредоноса Медуза

Полиция Москвы и Подмосковья задержала троих айтишников. Молодые люди подозреваются в причастности к созданию и распространению вредоносной программы «Медуза», а также к использованию ее в атаках на территории России.

В ходе расследования выяснилось, что ворующий данные зловред был создан около двух лет назад и продвигался через хакерские форумы. В мае этого года он засветился в атаке на одно из учреждений Астраханской области.

Те же вирусописатели создали еще один вредоносный продукт — бот, умеющий обходить средства защиты данных.

Следственным управлением УМВД по Астраханской области возбуждено уголовное дело по признакам преступления, предусмотренного ч. 2 ст. 273 УК РФ (создание / распространение / использование вредоносных программ в составе ОПГ, до пяти лет лишения свободы).

В ходе обысков у фигурантов были изъяты компьютерная техника, средства связи, банковские карты и другие предметы, имеющие доказательственное значение. Задержанным избраны различные меры пресечения, полиция пытается выявить других соучастников и дополнительные свидетельства противоправной деятельности.

О какой «Медузе» идет речь, можно только гадать. В пресс-релизе МВД РФ сказано, что зловред предназначен «для хищения учетных данных, сведений о криптокошельках и другой компьютерной информации».

По всей видимости, речь идет о Meduza Stealer, а не о банковском трояне Medusa, заточенном под Android, и уж явно не о шифровальщике с тем же именем.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru