Рубрика «Fancy Bear»

Кибегруппа Sednit действует минимум с 2004 и регулярно фигурирует в новостях. Считается, что Sednit (более известные как Fancy Bear) стоят за взломом Национального комитета Демократической партии США перед выборами 2016 года, Всемирного антидопингового агентства (WADA), телевизионной сети TV5Monde и другими атаками. В арсенале группы набор вредоносных инструментов, некоторые из которых мы задокументировали в прошлом отчете.

Недавно мы выпустили отчет о LoJax – UEFI-рутките, который также имеет отношение к Sednit и использовался в атаках на Балканах, в Центральной и Восточной Европе.

В августе 2018 года операторы Sednit развернули два новых компонента Zebrocy, и с этого момента мы наблюдаем всплеск использования этого инструмента. Zebrocy – набор из загрузчиков, дропперов и бэкдоров. Загрузчики и дропперы предназначены для разведки, в то время как бэкдоры обеспечивают персистентность и шпионские возможности. У этих новых компонентов необычный способ эксфильтрации собранных данных через связанные с почтовыми службами протоколы SMTP и POP3.

ESET: анализ новых компонентов Zebrocy - 1

Читать полностью »

Пентагон начал рассекречивать чужие зловреды - 1

Кибернетическое командование США (U.S. Cyber Command) объявило о необычной инициативе. Оно обещает регулярно заливать в базу VirusTotal образцы «рассекреченных зловредов».

Несложно догадаться, что речь идёт о кибероружии, которые используют иностранные спецслужбы в текущих операциях (подразделения по киберразведке действуют во всех странах с развитыми разведывательными службами, в том числе в России). Другими словами, американская разведка собирается выставить инструменты противника на всеобщее обозрение. После появления в общедоступных базах VirusTotal эти инструменты попадут во все антивирусные базы и по сути станут неэффективными.

«Это похоже на пример новой стратегии США, направленной на активное преследование иностранных государственных акторов. Публикуя вредоносное ПО, США вынуждают их постоянно находить и использовать новые уязвимости», — комментирует ситуацию известный специалист по безопасности и криптограф Брюс Шнайер.
Читать полностью »

Sednit, также известные как APT28, Fancy Bear, Sofacy или STRONTIUM – группа злоумышленников, работающих с 2004 года, а может и раньше, основной целью которых является кража конфиденциальной информации у избранных объектов.

Анализ Zebrocy, вредоносного ПО первого этапа группы Fancy Bear - 1

Примерно с конца 2015 года мы наблюдаем развертывание этой группой нового компонента – Zebrocy, загрузчика для Xagent (главного бэкдора Sednit). Лаборатория Касперского впервые упоминает данный компонент в 2017 году в отчете APT trend report и недавно выпустила статью с его описанием.

Новый компонент – семейство вредоносного ПО, состоящее из загрузчиков и бэкдоров, написанных на Delphi и AutoIt. Они играют в экосистеме Sednit ту же роль, что и Seduploader, – используются в качестве вредоносного ПО первого этапа атаки.

Читать полностью »

Security Week 43: Грядет великая IoT-жатва, как хакеры киберконфу НАТО пиарили, из Bad Rabbit торчат уши ExPetr - 1Покайтесь, ибо грядет! Улицы наводнили безумные проповедники с апокалиптическими плакатами, по ночам из-за горизонта поднимается необычно огромная Луна кровавого цвета, а ученые, в свое время не получившие нобелевку из-за слишком радикальных идей, безуспешно пытаются достучаться до властей со своими шокирующими открытиями. Назревает нечто ужасное. Оно уже близко. Ну или нет.

Возможно, в этот раз нам повезло, и мы вовремя получили предупреждение о готовящемся восстании «интернета вещей». NewSky Security нашли в даркнете форумную ветку, в которой «черные шляпы» расслабленно обсуждали концепцию и реализацию атаки через CVE-2017-8225, позволяющую сливать учетные данные из китайских камер от множества разных вендоров. Двое самых активных участников обсуждения в итоге родили два скрипта.
Читать полностью »

Эпоха политических взломов. Утечка документов штаба Макрона: 9 ГБ файлов - 1

Вечером 5 мая 2017 года один из двух кандидатов в президенты Франции Эммануэль Макрон за полтора дня до решающего второго тура выборов стал жертвой масштабной хакерской атаки. Неизвестные опубликовали около 9 ГБ документов из почтовых ящиков предвыборного штаба бывшего инвестиционного банкира и министра экономики.

Ссылки на документы EMLEAKS опубликованы на Pastebin (копия).

Таким образом, французский политик стал очередной жертвой «политических» взломов, когда неизвестные выкладывают в свободный доступ конфиденциальную переписку политиков: это началось с диппочты американских дипломатов на Wikileaks, затем была Демократическая партия США, российский премьер-министр Дмитрий Медведев и другие политики РФ, а теперь французский кандидат в президенты.

Судя по всему, в современном информационном обществе у политиков уже не может быть абсолютно никаких секретов от публики.
Читать полностью »

Началась облава на российских хакеров - 1
Слева направо: Докучаев, Сущин, Белан, Баратов

До середины 2000-х американцы активно сотрудничали с ФСБ в поиске киберпреступников, но вскоре обнаружили странную вещь. Если талантливого хакера удавалось-таки выследить, то он сразу исчезал с радаров и уходил в подполье. А спустя несколько лет выяснялось, что он уже работает на российскую разведку. «Называя свои цели, фактически, мы помогали ФСБ идентифицировать талантливых ребят и завербовать их», — сокрушается Милан Патель, бывший технологический директор киберподразделения ФБР, а ныне управляющий директор американской компании K2 Intelligence, которая специализируется на информационной безопасности.

Вскоре стало ясно, что российские спецслужбы водили американцев за нос, пишет Buzzfeed. Российская разведка не только вербовала хакеров, но и нанимала некоторых из них по контракту для выполнения грязной работы, когда нужно накопать информацию на определённого человека, например.

Но спецслужбы США не собирались сдаваться. И охота началась.
Читать полностью »

Теории заговора. Хакеры на службе государства - 1
Джулиан Ассанж сказал, что считает Хиллари Клинтон своим личным врагом. Поэтому он помог хакерам из Fancy Bear опубликовать украденные документы Национального комитета демократической партии США

Конспирологи из числа западных чиновников и специалистов по безопасности в последнее время активно обсуждают тему российских хакеров, которые якобы выполняют заказы правительства России. Действительно ли в России существует киберармия или это выдумка? Кто занимается кибершпионажем и добывает компромат на американских политиков?
Читать полностью »


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js