Зафиксирована первая атака хакеров из КНДР Lazarus на Россию

Зафиксирована первая атака хакеров из КНДР Lazarus на Россию

Зафиксирована первая атака хакеров из КНДР Lazarus на Россию

Специалисты компании Check Point зафиксировали кибершпионскую кампанию северокорейских правительственных хакеров из группировки Lazarus. Удивительно, что в этот раз киберпреступники выбрали в качестве целей российские организации.

Если эксперты не ошиблись в своих выводах, это первый инцидент подобного рода — прежде хакеры из КНДР никогда не нападали на Россию.

«Впервые мы наблюдаем кибератаку северокорейской группы на российские организации. Несмотря на то, что на данном этапе довольно проблематично с точностью установить киберпреступную группу, все методы и тактика указывают на Lazarus», — пишут исследователи в отчете.

Если точнее, эксперты полагают, что атаки исходят от Bluenoroff — специального подразделения, входящего в состав группы Lazarus.

Пейлоад конечного этапа, используемый в этой кампании, представляет собой бэкдор KEYMARBLE, который загружается со скомпрометированного сервера в виде CAB-файла, замаскированного под изображение JPEG — http://37.238.135[.]70/img/anan.jpg.

Взломанный сервер принадлежит «South Oil Company», хостер сервера — EarthLink Ltd.

Вся схема атаки выглядит следующим образом:

kernel.org внезапно опустел: на зеркалах случайно удалили архивы ядра Linux

У kernel.org случился редкий инфраструктурный конфуз: из-за ошибки при настройке нового первичного зеркала и изменении системы синхронизации внезапно опустел каталог kernel.org/pub/. Именно там на публичных зеркалах хранились архивы с кодом выпусков ядра Linux, патчи и файлы со списками изменений.

Пользователи, заходившие в каталог, вместо привычного дерева файлов увидели пустоту. Очень философский опыт для мира открытого кода.

В Linux Foundation объяснили, что данные не потеряны: пострадали только копии на публичных зеркалах. Эталонные данные с кодом ядра Linux остались целы. Проблема возникла именно в инфраструктуре зеркалирования, где ошибочная настройка привела к удалению содержимого на существующих зеркалах.

Команда проекта уже занимается восстановлением данных. Но, как метко заметили участники kernel.org, удаление происходит быстро, а восстановление — медленно. Поэтому пользователей попросили набраться терпения.

Инцидент оказался неприятным не только для тех, кто привык скачивать архивы ядра напрямую с kernel.org. Он задел и сторонние проекты. Например, в Fedora сломались браузерные тесты openQA: много лет назад разработчики выбрали kernel.org как надёжный источник для проверки загрузки файлов.

Исходники ядра не исчезли, инфраструктура восстанавливается, а речь идет именно о зеркалах, но инцидент напоминает, что в больших системах даже аккуратная настройка зеркал может обернуться массовым rm -rf по публичным копиям.

RSS: Новости на портале Anti-Malware.ru