Зафиксирована первая атака хакеров из КНДР Lazarus на Россию

Зафиксирована первая атака хакеров из КНДР Lazarus на Россию

Зафиксирована первая атака хакеров из КНДР Lazarus на Россию

Специалисты компании Check Point зафиксировали кибершпионскую кампанию северокорейских правительственных хакеров из группировки Lazarus. Удивительно, что в этот раз киберпреступники выбрали в качестве целей российские организации.

Если эксперты не ошиблись в своих выводах, это первый инцидент подобного рода — прежде хакеры из КНДР никогда не нападали на Россию.

«Впервые мы наблюдаем кибератаку северокорейской группы на российские организации. Несмотря на то, что на данном этапе довольно проблематично с точностью установить киберпреступную группу, все методы и тактика указывают на Lazarus», — пишут исследователи в отчете.

Если точнее, эксперты полагают, что атаки исходят от Bluenoroff — специального подразделения, входящего в состав группы Lazarus.

Пейлоад конечного этапа, используемый в этой кампании, представляет собой бэкдор KEYMARBLE, который загружается со скомпрометированного сервера в виде CAB-файла, замаскированного под изображение JPEG — http://37.238.135[.]70/img/anan.jpg.

Взломанный сервер принадлежит «South Oil Company», хостер сервера — EarthLink Ltd.

Вся схема атаки выглядит следующим образом:

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Меры по защите от мошенников угрожают белых хакерам

Во втором пакете мер по борьбе с мошенничеством предусмотрен запрет на распространение информации о методах проведения кибератак. Компании, работающие в сфере кибербезопасности, считают это прямым ограничением для исследователей, занимающихся поиском уязвимостей.

Пакет документов, опубликованный 26 августа на портале проектов нормативных актов, содержит норму о запрете распространения «информации, предназначенной для несанкционированного уничтожения, блокирования, модификации, копирования информации и (или) программ». Соответствующую поправку планируется внести в статью 15.3 «Порядок ограничения доступа к информации, распространяемой с нарушением закона» федерального закона «Об информации, информационных технологиях и о защите информации».

«Запретить специалистам доступ к такой информации — это то же самое, что запретить токсикологам изучать описание поражающих факторов отравляющих веществ»,— сказал в комментарии «Коммерсанту» управляющий директор по работе с госорганами Positive Technologies Игорь Алексеев.

Директор центра противодействия мошенничеству компании «Информзащита» Павел Коваленко отметил, что работа специалистов по анализу защищённости и раньше проходила на грани с точки зрения законодательства. Однако наличие договоров или участие в программах bug bounty обычно служило гарантией от юридических рисков. По его словам, блокировка или удаление подобной информации создаст дополнительные сложности для исследователей.

«Bug bounty находится в группе риска: эта сфера сейчас активно развивается, а новые законодательные ограничения явно не в её пользу»,— считает гендиректор ЮК Enterprise Legal Solutions Анна Барабаш. Она подчеркнула, что новые меры усиливают правовую неопределённость в этой области.

В Минцифры изданию пояснили, что меры направлены на снижение рисков для государства и бизнеса в области кибербезопасности. Контроль за применением новых норм будет находиться в компетенции Роскомнадзора и органов прокуратуры.

В аппарате вице-премьера Дмитрия Григоренко добавили, что инициатива создаст правовой барьер для киберпреступников, снизит число успешных атак и позволит правоохранительным органам эффективнее блокировать каналы распространения вредоносных программ.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru