ФБР 20 лет расследовало кибершпионаж от рязанского ФСБ
Главная » Новости

ФБР 20 лет расследовало кибершпионаж от рязанского ФСБ

Олеся Афанасьева 10 Мая 2023 - 14:38
...
ФБР 20 лет расследовало кибершпионаж от рязанского ФСБ

Американские спецслужбы утверждают, что смогли нейтрализовать шпионскую программу, связанную с ФСБ России. По версии ФБР, вредонос по имени Snake, разработанный в Рязани, 20 лет качал дипломатическую переписку и следил за журналистами.

О завершении операции под кодовым названием Medusa накануне сообщил Минюст США, а сегодня новость обсуждают все мировые СМИ.

Речь о ликвидации глобальной пиринговой сети компьютеров, зараженных программой Turla Snake. По данным ФБР, “шпиона” разрабатывал и внедрял 16-й центр ФСБ, а именно — управление в Рязани.

Расследование длилось 20 лет. За это время Snake “забрался” в сотни компьютерных систем как минимум в 50 странах мира.

“Шпион” мог внедряться с помощью фишинга или уязвимостей на сайтах компаний-целей, предлагая установить фальшивые версии раскрученных разработчиков, например Adobe Flash Player или Microsoft Security Essentials.

Обосновавшись, “змей” устанавливал на компьютер кейлогер, запоминающий действия пользователя — сочетание нажатых клавиш и движения мыши. Таким образом программа считывала учетные данные, имена пользователей и пароли.

О кейлогере Snake мы писали еще год назад. Тогда его “засекли” эксперты компании HP Wolf Security. Злоумышленники использовали PDF для передачи документов с вредоносными макросами. Обычно их доставляли письмом с темой "Remittance Invoice" — получателю полагаются какие-то выплаты. При открытии PDF Adobe Reader предлагал запустить DOCX-файл, зашитый внутрь изначального документа.

Уже на этом этапе опытный получатель должен был заподозрить нетипичное поведение для PDF-документов. Преступники предусмотрели это и назвали встроенный файл "has been verified" — ”Файл подтверждён”.

“Операция Medusa отключила вредоносную программу Snake на пораженных компьютерах с помощью инструмента Perseus, которое заставило Snake переписать свои важные компоненты”, — отчитался Минюст США. Ведомство получило в суде разрешение на удаленный доступ к зараженным компьютерам.

При этом американские спецслужбы уже назвали “рязанского змея” “самым хитроумным оружием России для кибершпионажа”. Официальных комментариев от российских властей по ситуации на момент публикации не поступало.

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Вредонос под видом мода к Minecraft украл данные 1500 игроков
Екатерина Быстрова 18 Июня 2025 - 17:47
ТрояныУтечки информацииУмышленные утечки информацииКража данных Домашние пользователи
Вредонос под видом мода к Minecraft украл данные 1500 игроков

Если вы скачиваете моды к Minecraft с GitHub — самое время быть осторожным. Исследователи из Check Point обнаружили новую многоступенчатую вредоносную кампанию, нацеленную именно на игроков этой игры.

Всё начинается с якобы безобидного мода, а заканчивается кражей паролей, токенов и данных из криптокошельков.

Злоумышленники распространяют вредонос под видом модов под названиями Oringo и Taunahi — это так называемые «чит-скрипты». Работают они только в среде Minecraft, потому что написаны на Java и запускаются, если игра установлена.

Заражение происходит в несколько этапов:

  1. Игрок сам копирует вредоносный JAR-файл в папку с модами.
  2. При запуске Minecraft этот файл загружается вместе с остальными модами.
  3. Он скачивает второй этап заражения — ещё один JAR, который, в свою очередь, вытягивает .NET-программу-крадущую (инфостилер).

Причём вся передача команд и ссылок завуалирована — используется Pastebin с зашифрованным IP-адресом сервера.

Что может этот зловред?

Очень многое. После загрузки финального компонента начинается сбор:

  • токенов Discord, Minecraft, Telegram;
  • логинов и паролей из браузеров;
  • данных криптокошельков;
  • файлов с компьютера;
  • данных из приложений вроде Steam и FileZilla;
  • снимков экрана, буфера обмена и списка запущенных процессов.

Всё это отправляется обратно через Discord Webhook.

Кто за этим стоит?

Исследователи подозревают, что за атакой стоит русскоязычный злоумышленник. Об этом говорят артефакты на русском языке и часовой пояс (UTC+03:00) в коммитах на GitHub. По предварительным оценкам, уже пострадали более 1 500 устройств.

Вся эта кампания использует нелегальный сервис Stargazers Ghost Network — он позволяет размещать вредоносные репозитории на GitHub, маскируя их под взломанное ПО и игровые моды.

 

А что с KimJongRAT?

Параллельно исследователи из Unit 42 (Palo Alto Networks) сообщили о двух новых вариантах известного шпионского инструмента KimJongRAT. Один — в виде исполняемого файла (PE), второй — в PowerShell-реализации. Оба активируются через клик по LNK-файлу и загружают компоненты для кражи данных и нажатий клавиш. За этим стоит, предположительно, северокорейская группировка, связанная с кампаниями BabyShark и Stolen Pencil.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Эксплойт для Linux-ядра в деле: баг даёт root и попал в список CISA
Новость
Эксплойт для Linux-ядра в деле: баг даёт root и попал в спис...
В России растет количество политических дипфейков
Новость
В России растет количество политических дипфейков
В iOS 26 и macOS Tahoe расширят автозаполнение 2FA-кодов на сторонний софт
Новость
В iOS 26 и macOS Tahoe расширят автозаполнение 2FA-кодов на...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.