Китайский вредонос крадёт данные с физически изолированных устройств
Главная » Новости
Гибридные облака: как и зачем их строятДо 70% российских компаний уже используют гибридное облако: часть инфраструктуры остаётся on-prem, часть переносится в публичные облака. Это рабочая модель, которая ускоряет запуск сервисов, даёт гибкое масштабирование и поддержку AI-нагрузок при сохранении контроля над данными. 14 мая в 11:00 в эфире AM Live разберём, как работает гибрид, когда облака дают максимум выгоды, как выбрать провайдера и какие ошибки чаще всего допускают→ Зарегистрироваться
Реклама. ООО «АМ Медиа», ИНН 7703628151, 16+

Китайский вредонос крадёт данные с физически изолированных устройств

Екатерина Быстрова 02 Августа 2023 - 10:17
...
Китайский вредонос крадёт данные с физически изолированных устройств

Китайские правительственные киберпреступники используют новую вредоносную программу в атаках на промышленные организации. Особенность нового вредоноса в том, что он способен красть данные с физически изолированных устройств.

Поскольку изолированные устройства (Air gap) играют ключевую роль в обеспечении безопасности важных данных, они идеально подходят для работы в промышленной и других критически важных госсферах.

Специалисты «Лаборатории Касперского» обнаружили новую вредоносную программу, которую связали с киберпреступной группировкой APT31 (другое имя — Zirconium).

По словам исследователей, злоумышленники используют как минимум 15 различных зловредов, включая их фирменный FourteenHi, в атаках на Восточную Европу.

Эта кампания Zirconium стартовала в апреле прошлого года и включала три отдельные ступени. Пейлоады начальной стадии пробирались в систему, обосновывались там и открывали операторам удалённый доступ. В их задачи также входил сбор данных, которые могут пригодиться для развития атаки.

На втором этапе APT31 сбрасывала ещё больше специально подготовленных вредоносов, заточенных под кражу информации с физически изолированных устройств. Для этого использовалась техника распространения через USB (USB propagation).

Конечная стадия атаки отмечалась отдельными зловредами, загружающими все собранные данные на командный сервер злоумышленников (C2). В Kaspersky отметили, что атакующий изолированные устройства вредонос состоит из четырёх модулей:

  1. Первый модуль изучает съёмные диски, собирает файлы, снимает скриншоты, а также устанавливает дополнительные пейлоады в систему.
  2. Второй модуль заражает съёмные диски, копируя легитимный исполняемый файл McAfee, уязвимый для перехвата DLL. Также в корневую директорию устройства копируется вредоносная библиотека (после чего скрывается с помощью атрибута «hidden»).
  3. Третий модуль выполняет скрипт для сбора данных и сохранения их в папке $RECYCLE.BIN.
  4. Последний модуль — фактически вариант первого, но действует как дроппер пейлода, кейлогера и стилера.

Следующая главная новость »
AM LiveУдалённый доступ 2026: почему VPN устарел и что вместо него?
Регистрируйтесь на эфир!

Переход объектов КИИ на российское ПО могут отложить до 2031 и 2036 годов
Яков Шпунт 12 Мая 2026 - 13:08
Соответствие законодательству РФ КорпорацииГосударство Защита критически важных объектовСоответствие требованиям регуляторов
Переход объектов КИИ на российское ПО могут отложить до 2031 и 2036 годов

Минцифры предлагает уточнить сроки перевода объектов критической информационной инфраструктуры (КИИ) на российское ПО. В целом дата перехода значимых объектов КИИ (ЗО КИИ) — 1 января 2028 года — остаётся в силе, однако в отдельных случаях её могут сдвинуть на более поздний срок.

Такие меры предусмотрены проектом правительственного постановления, который сейчас готовит Минцифры. О его содержании узнал Интерфакс из источников в ведомстве.

Базовый срок перевода всех ЗО КИИ на российское ПО к 1 января 2028 года сохраняется. Однако он будет применяться только в тех случаях, когда для таких объектов уже существуют отечественные системы.

Для проектов, связанных с конкретными ЗО КИИ и созданных до 1 января 2026 года, а также для случаев, когда контракт на разработку соответствующего российского ПО был заключён до 1 сентября 2027 года, срок перехода предлагается перенести на 1 января 2031 года. Если же проекты ЗО КИИ были начаты в 2026–2027 годах, переход могут отложить до 1 января 2036 года. В целом для новых объектов планируется установить пятилетний срок перехода на российское ПО.

Кроме того, согласно документу, федеральные министерства и ведомства, Банк России, а также госкорпорации «Роскосмос» и «Росатом» должны будут до 1 сентября 2026 года утвердить отраслевые планы перехода на российское ПО. Для этого в госорганах и госкорпорациях необходимо назначить ответственных за организацию такого перехода должностных лиц уровнем не ниже заместителя руководителя.

AM LiveУдалённый доступ 2026: почему VPN устарел и что вместо него?
Регистрируйтесь на эфир!
Мошенники мстят тем, кого не удалось обмануть
Новость
Мошенники мстят тем, кого не удалось обмануть
Android подключает Gemini к борьбе с телефонными мошенниками
Новость
Android подключает Gemini к борьбе с телефонными мошенниками
Российские компании пояснили свои методы обнаружения VPN у пользователей
Новость
Российские компании пояснили свои методы обнаружения VPN у п...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2026. Все права защищены.