В Сеть выложили якобы вторую часть слитой базы Почты России

Олеся Афанасьева 24 Января 2023 - 13:50

Домашние пользователи

Государство

Утечки информации

Умышленные утечки информации

Кража данных

...

В Сеть выложили якобы вторую часть слитой базы Почты России

В открытый доступ попал второй фрагмент базы данных с клиентами, предположительно, “Почты России”. Сама госкомпания отрицает факт утечки. Первый дамп выложили в декабре в связке с Госуслугами. Файлы содержат ФИО, паспортные данные, СНИЛС и ИНН.

О продолжении истории со слитой базой “Почты России” сообщает Telegram-канал “Утечки информации”. В первой “серии” дамп фигурировал в декабрьском сливе с портала Госуслуг. Тогда слив опровергли в Минцифре, заявив, что данные взяты из старой утечки “Почты России”, которая произошла еще летом.

Новую утечку отрицает и сам оператор российской почтовой связи.

“После июльского инцидента мы провели полный аудит безопасности информационных систем и никаких утечек из них не было, — заявили Anti-Malware.ru в пресс-службе “Почты России”. — Наши специалисты по информационной безопасности исследовали упомянутую в запросе базу данных. Злоумышленники продолжают выкладывать неактуальные данные с подменой даты создания записей. Это компиляция из других утечек информации”.

Однако эксперты по кибербезопасности еще тогда заметили нестыковки.

“Информация от 19.12.2022 не совпадает с другими утечками из “Почты России”, ранее опубликованными в открытом доступе, поскольку относится к другой информационной системе почтового оператора, не появлявшейся ранее в публичном поле”, — говорили специалисты “Утечек информации”.

Свежий фрагмент базы по объему схож с первой частью и содержит примерно 140 тыс. строк:

ФИО
адрес (регистрации и фактический)
телефон
адрес эл. почты (не для всех)
СНИЛС/ИНН (не для всех)
пол
дата рождения
серия / номер паспорта, кем и когда выдан

Дамп был сделан не раньше 30 ноября 2022, говорят в “Утечках”.

На связь с “Почтой России” указывают такие специфичные поля, как:

pepactivate - ПЭП (простая электронная подпись)
flag_abox - abox.pochta.ru (абонентский почтовый ящик)
flag_digitalf22 - почтовое извещение, форма 22
post_office - коды почтовых отделений

Добавим, Минцифры всё еще работает над законопроектом об оборотных штрафах за утечки. В конце года в проекте закона прописали верхний предел штрафа. “Потолок” может составить 500 млн руб. Он предусмотрен в случае, если компания допустила утечку данных повторно с момента вступления закона в силу и нарушила требования регулятора, например скрывала инцидент.

При этом пока непонятно, как в таком случае будут поступать с государственными организациями. Будут ли они нести аналогичные штрафные санкции и каким образом они будут рассчитываться.

Следующая главная новость »

Чем заменить Microsoft 365 и Google Workspace в 2026?
Регистрируйтесь на эфир!

Екатерина Быстрова 22 Апреля 2026 - 20:28

Linux Бэкдоры Кибершпионаж Корпорации Symantec

Linux-бэкдор GoGra маскирует атаки под работу Outlook и Microsoft Graph

Исследователи обнаружили вариант бэкдора GoGra для Linux, который маскирует командный трафик под вполне легитимную активность Microsoft. Вместо привычной C2-инфраструктуры зловред использует почтовый ящик Outlook и Microsoft Graph API, чтобы незаметно получать команды и отправлять результаты их выполнения.

Эту кампанию связывают с группировкой Harvester, которая, по оценке Symantec, занимается кибершпионажем и активна как минимум с 2021 года.

По данным специалистов, новая Linux-версия GoGra была найдена в образцах, загруженных на VirusTotal. Исследователи считают, что первоначальное заражение начинается с того, что жертву убеждают запустить ELF-файл, замаскированный под PDF-документ.

После запуска дроппер на Go разворачивает полезную нагрузку, закрепляется в системе через systemd и XDG autostart, а для маскировки притворяется легитимным системным монитором Conky.

Главная хитрость GoGra — канал связи. Зловред использует встроенные Azure Active Directory credentials, получает OAuth2-токены и через Microsoft Graph API подключается к Outlook-почте.

Дальше он каждые две секунды проверяет директорию с названием «Zomato Pizza» и ищет письма, тема которых начинается со слова «Input». Содержимое таких писем закодировано в base64 и зашифровано по AES-CBC; после расшифровки команды выполняются локально на машине жертвы. Результат затем снова шифруется и отправляется оператору в ответном письме с темой «Output». Чтобы замести следы, зловред ещё и удаляет исходное письмо с командой через HTTP DELETE.

Исследователи отдельно подчёркивают, что Linux-вариант почти полностью повторяет Windows-версию GoGra. Совпадают не только архитектура и логика работы, но даже опечатки в строках и названиях функций, а также AES-ключ. Всё это указывает на одного и того же разработчика и усиливает привязку к Harvester.

Сам по себе приём с Microsoft Graph API тоже не новинка, но он остаётся очень удобным для шпионских операций. Трафик к Microsoft 365 и Outlook редко вызывает подозрения, а значит, вредоносная активность дольше растворяется в нормальном корпоративном фоне.

Чем заменить Microsoft 365 и Google Workspace в 2026?
Регистрируйтесь на эфир!