КиберСек

Метка: backdoor

  • Telegram за 12 лет не нарушил конфиденциальность пользователей

    Telegram за 12 лет не нарушил конфиденциальность пользователей

    Павел Дуров напомнил, что Telegram не передает личные переписки пользователей властям. Даже при наличии судебного ордера компания раскрывает только IP-адрес и номер телефона подозреваемого. В Европейском союзе это возможно в рамках Digital Services Act.

    Во Франции обсуждали опасный законопроект, требующий мессенджерам встроить бэкдоры для доступа полиции к перепискам. Национальное собрание остановило закон, но угроза остается. Дуров подчеркнул, что Telegram предпочел бы уйти с рынка, чем нарушить доверие пользователей.

    Такие инициативы неэффективны против преступности, но опасны для цифровой безопасности. В случае встроенного бэкдора могут воспользоваться не только полиция, но и хакеры, разведки и другие злоумышленники. Шифрование защищает обычных людей, и его ослабление угрожает правам. В Европейском союзе также обсуждают подобные инициативы.

    Дуров подчеркнул важность защиты шифрования для всех пользователей и напомнил, что никто не пошел на официальное ослабление шифрования, даже в странах с сомнительной репутацией в сфере прав и свобод.

    © KiberSec.ru – [last_modified], обновлено [last_modified]
    Перепечатка материалов сайта возможна только с разрешения администрации KiberSec.ru.

  • Атака через обновление ViPNet в России

    Атака через обновление ViPNet в России

    В апреле 2025 года эксперты из «Лаборатории Касперского» обнаружили новый вредоносный программный код, который использовали для нападения на множество компаний в России. Пострадали организации из государственного сектора, финансовой сферы и промышленности.

    Исследование провели специалисты из Kaspersky совместно с командой «Т-Технологий». О новом вирусе рассказали на конференции Kaspersky Future.

    Что известно о вредоносной программе?
    Злоумышленники использовали новый вредоносный код, который маскировали под обновление программы ViPNet Client, используемой для создания защищенных сетей. Главная цель атаки — сбор информации для шпионажа.

    Вредоносная программа состоит из нескольких исполняемых файлов и зашифрованного архива, в котором скрыт вредоносный код. Он позволяет тайно управлять зараженным устройством. Антивирусные программы уже обнаруживают угрозу под названием HEUR:Trojan.Win32.Loader.gen.

    Кто стоит за атаками?
    Атаку связывают с неизвестной группой APT. Пока нет точной информации о происхождении этой группировки.

    Кроме того, на конференции Kaspersky Future также упомянули об обновленном трояне MysterySnail, который атаковал государственные структуры России.

    © KiberSec.ru – [last_modified], обновлено [last_modified]
    Перепечатка материалов сайта возможна только с разрешения администрации KiberSec.ru.

  • Устройства с Bluetooth-чипом ESP32 под угрозой!

    Устройства с Bluetooth-чипом ESP32 под угрозой!

    Специалисты из компании Tarlogic Security обнаружили скрытые команды в микрочипе ESP32, который используется в многих «умных» устройствах по всему миру. Этот микрочип разрабатывается компанией Espressif из Китая и используется для связи по Wi-Fi и Bluetooth в устройствах IoT.

    Исследователи обнаружили 29 скрытых команд в прошивке микрочипа, с помощью которых можно управлять памятью устройства, изменять MAC-адреса и внедрять вредоносные данные. Эксплуатация этих команд позволяет злоумышленникам получить полный контроль над устройствами, обойти системы проверки кода и атаковать другие устройства в сети.

    Исследователи разработали специальный драйвер для обнаружения этих скрытых команд, который облегчает нахождение уязвимостей и потенциальных атак. Обычно для использования скрытых команд требуется физический доступ к устройству, но есть возможность удаленной эксплуатации через вредоносные прошивки или обновления.

    Компания Espressif пока не дала комментариев по поводу скрытых команд в их устройствах.

    © KiberSec.ru – [last_modified], обновлено [last_modified]
    Перепечатка материалов сайта возможна только с разрешения администрации KiberSec.ru.

  • Иранские хакеры атаковали критическую инфраструктуру ОАЭ

    Иранские хакеры атаковали критическую инфраструктуру ОАЭ

    Специалисты компании Proofpoint обнаружили новую атаку по почте, которая была направлена на несколько компаний в ОАЭ. Целью атаки стали организации, занимающиеся авиацией и спутниковой связью. Злоумышленники использовали специальный вредоносный код, чтобы получить доступ к системам жертв.

    Атака началась в конце октября 2024 года и была названа группировкой UNK_CraftyCamel. Злоумышленники использовали учётную запись компании INDIC Electronics из Индии, чтобы отправить фишинговые письма с ссылками на поддельный сайт компании. Архив, который содержал вредоносные файлы, был прикреплен к этим письмам.

    Файлы в архиве были замаскированы под документы Excel и PDF. Они использовались для запуска вредоносного кода на компьютерах жертв. Бэкдор Sosano позволял злоумышленникам взаимодействовать с сервером и выполнять различные команды.

    Хотя методы этой атаки отличаются от других группировок, исследователи предполагают связь с Ираном, особенно с Корпусом стражей исламской революции. Выбор целей в авиации, спутниковой связи и критической транспортной инфраструктуре ОАЭ показывает, что атакующие стремятся получить разведывательную информацию в стратегически важных секторах.

    Специалисты Proofpoint отметили, что эта атака была очень целенаправленной и сложной. Используемые методы и компрометация доверенной третьей стороны показывают высокий уровень подготовки злоумышленников.

    © KiberSec.ru – [last_modified], обновлено [last_modified]
    Перепечатка материалов сайта возможна только с разрешения администрации KiberSec.ru.

  • Новые законы Франции убьют анонимность в сети

    Новые законы Франции убьют анонимность в сети

    Франция готовится принять законы, которые могут изменить правила онлайн-безопасности. Они требуют от провайдеров связи устанавливать специальные доступы в зашифрованные мессенджеры и ограничивать использование VPN. Эти изменения вызвали негативную реакцию от компании Tuta и организации VPN Trust Initiative.

    Один из законопроектов связан с изменением закона Narcotrafic во Франции. Он требует, чтобы сервисы зашифрованной связи предоставляли правоохранительным органам расшифрованные сообщения подозреваемых в течение 72 часов. За нарушение этого закона предусмотрены штрафы. Tuta против таких изменений, говоря, что это угроза для всех пользователей, а не только для преступников.

    Также во Франции обсуждается другая инициатива — блокировка доступа к пиратским сайтам через VPN. Эту идею поддерживают Canal+ и Французская футбольная лига. Однако VPN Trust Initiative осудила такие действия, говоря, что борьба с пиратством не должна приводить к цензуре.

    Подобные законы также обсуждаются в других странах. Недавно правительство Великобритании потребовало от Apple предоставить доступ к зашифрованным данным. В ответ Apple отключила сквозное шифрование для пользователей из Великобритании. В Швеции также готовится законопроект о создании технических доступов к зашифрованным сообщениям в мессенджерах Signal и WhatsApp.

    Глава Европола Катрин Де Боллена выступила за расширенное сотрудничество между технологическими компаниями и правоохранительными органами по вопросам шифрования. По её мнению, отказ от такого сотрудничества может угрожать европейской демократии.

    © KiberSec.ru – [last_modified], обновлено [last_modified]
    Перепечатка материалов сайта возможна только с разрешения администрации KiberSec.ru.

  • Швеция грозит WhatsApp и Signal уходом

    Швеция грозит WhatsApp и Signal уходом

    Правоохранительные органы в Швеции хотят внести закон, который заставит мессенджеры Signal и WhatsApp делать специальные дыры в зашифрованных сообщениях. Это позволит им получить доступ к этим сообщениям. Глава Signal Foundation сказала, что их компания уйдет из Швеции, если такой закон будет принят. Она предупредила, что создание таких дыр может сделать сеть Signal менее безопасной.

    Если закон будет поддержан, шведский парламент обсудит его в следующем году. По закону мессенджеры должны будут хранить сообщения и давать полиции и службе безопасности доступ к переписке подозреваемых в преступлениях.

    Министерство юстиции Швеции считает, что доступ к таким данным очень важен для работы правоохранительных органов. Но военные высказались против этой идеи, так как они используют Signal для предотвращения прослушки. Армия предупреждает, что создание дыры может сделать их уязвимыми перед злоумышленниками.

    WhatsApp и Signal не дали комментариев по поводу этого законопроекта.

    В Великобритании правительство потребовало от Apple предоставить доступ к зашифрованным резервным копиям iCloud. В ответ компания отключила опцию шифрования для британских пользователей.

    © KiberSec.ru – [last_modified], обновлено [last_modified]
    Перепечатка материалов сайта возможна только с разрешения администрации KiberSec.ru.

  • Вирус ReaverBits использует Meduza Stealer в письмах от МВД

    Вирус ReaverBits использует Meduza Stealer в письмах от МВД

    Компания F6 заметила новые атаки группировки ReaverBits, которая продолжает атаковать российские компании. В последних атаках использовались усовершенствованные инструменты, такие как Meduza Stealer и новый бэкдор ReaverDoor, что говорит о том, что хакеры становятся все более опытными.

    Группировка ReaverBits начала действовать в конце 2023 года и специализируется на атаках на компании в разных областях экономики, таких как биотехнологии, ритейл, агропромышленный комплекс, телекоммуникации и финансовый сектор. Они используют разные методы, такие как социальная инженерия, спуфинг и фишинг, чтобы обмануть сотрудников компаний. Вредоносное ПО распространяется под видом официальных документов и программного обеспечения.

    В сентябре 2024 года группа провела фишинговую атаку, отправив поддельные письма от Следственного комитета России. В письмах было вредоносное вложение, которое заражало систему стилером Meduza Stealer и собирало учетные данные и другую информацию. В январе 2025 года ReaverBits снова атаковали, отправив письма от имени Министерства внутренних дел России, с ссылкой на вредоносный файл «Повестка».

    Исследование показало, что хакеры продолжают использовать похожие методы в своих атаках. Они загружают вредоносные файлы с удаленных серверов и используют сложные схемы шифрования. Кроме того, они начали использовать новый бэкдор ReaverDoor, который дает им удаленный доступ к зараженным системам.

    ReaverBits по-прежнему модернизируют свои инструменты, чтобы остаться незамеченными и продолжать кражу данных. Их атаки делают обнаружение сложным, что свидетельствует о высоком уровне подготовки хакеров.

    © KiberSec.ru – [last_modified], обновлено [last_modified]
    Перепечатка материалов сайта возможна только с разрешения администрации KiberSec.ru.

  • Apple прекращает сотрудничество с ADP в Великобритании

    Apple прекращает сотрудничество с ADP в Великобритании

    Компания Apple отключила функцию Advanced Data Protection (ADP) для пользователей iCloud в Великобритании. Правительство потребовало создать специальный доступ к зашифрованным данным.

    ADP позволяет получить доступ к зашифрованным данным в iCloud только с устройства пользователя. Это включает в себя резервные копии, фотографии, заметки, голосовые записи и данные приложений.

    Apple считает, что отключение ADP в Великобритании — это плохой прецедент и изменение их позиции по защите данных пользователей. Компания выразила разочарование по этому поводу.

    Пользователи, которые уже активировали ADP, должны будут самостоятельно отключить эту функцию. Это связано с требованием британского правительства создать доступ к данным iCloud.

    Apple получила требование обеспечить специальный доступ ко всем данным, загружаемым пользователями iCloud по всему миру.

    © KiberSec.ru – [last_modified], обновлено [last_modified]
    Перепечатка материалов сайта возможна только с разрешения администрации KiberSec.ru.

  • Британский шпионаж в Apple угрожает конфиденциальности мировых данных

    Британский шпионаж в Apple угрожает конфиденциальности мировых данных

    Американские законодатели хотят, чтобы новый директор Национальной разведки Тулси Габбард подтвердил свою жёсткую позицию по вопросу бэкдоров в технологиях шифрования. Сенатор Рон Уайден и конгрессмен Энди Биггс написали письмо, в котором требуют от Габбард выступить против запроса британского правительства на ослабление защиты iCloud от Apple.

    Британия использует закон Investigatory Powers Act 2016, чтобы получить доступ к зашифрованным данным iCloud. Законодатели беспокоятся, что если Apple уступит, это повлияет на кибербезопасность американцев и госструктур США. Apple не делает разные версии шифрования для разных рынков, поэтому ослабление защиты в одном месте затронет всех пользователей.

    Сенаторы напоминают о кибератаке 2023 года, когда хакеры взломали системы Microsoft и похитили электронные письма правительства США. Этот инцидент показал, что хранение данных без качественного шифрования делает их уязвимыми для хакеров.

    Законодатели предупреждают, что если Британия не откажется от своего запроса, США могут пересмотреть соглашения о кибербезопасности и разведке. Они считают, что отношения между странами должны строиться на доверии, и подобные шаги подрывают это доверие.

    Чтобы усилить давление, Уайден и Биггс напомнили Габбард её слова о том, что ослабление шифрования угрожает свободам граждан. Они призывают Габбард подтвердить свои принципы делами и выставить Великобритании ультиматум: отказаться от бэкдора или столкнуться с последствиями.

    Сенаторы также хотят узнать, знала ли администрация Трампа о планах Британии и почему не сообщила об этом Конгрессу. Габбард должна дать ответы до 3 марта. Apple не может даже упоминать о запросе Лондона, а офис Габбард пока молчит.

  • Скрытые возможности нового бэкдора FINALDRAFT: 37 команд для атаки

    Скрытые возможности нового бэкдора FINALDRAFT: 37 команд для атаки

    Исследователи Elastic Security Labs обнаружили новую кибератаку, в ходе которой хакеры использовали мощный вредоносный инструмент FINALDRAFT. Целью атакующих стали внешнеполитическое ведомство одной из стран Южной Америки, телекоммуникационная компания и университет в Юго-Восточной Азии.
    FINALDRAFT написан на языке программирования C++ и позволяет хакерам удалённо управлять заражёнными системами. Он использует Microsoft Graph API для скрытого управления через черновики почтового сервиса Outlook.
    Атакующие использовали утилиту certutil для загрузки файлов с сервера, связанного с внешнеполитическим ведомством. Злоумышленники имели доступ к внутренней сети и украденные учётные данные.
    Атака начиналась с троянца PATHLOADER, который загружал зашифрованный код и внедрял его в память процесса «mspaint.exe». Этот код активировал FINALDRAFT, позволяя хакерам управлять системами.
    FINALDRAFT поддерживает 37 команд, включая управление файлами, внедрение в процессы и создание сетевых прокси. Он также может запускать процессы с украденными NTLM-хешами и выполнять PowerShell-команды.
    Атака была тщательно подготовлена, что свидетельствует о высоком профессионализме разработчиков. Однако ошибки в управлении кампанией и слабые меры сокрытия указывают на спешку или недостаточный контроль со стороны операторов.
    Группировка REF7707 продолжает активно действовать, что указывает на разведывательную направленность операции. Эксперты подчеркивают важность усиления кибербезопасности и постоянного мониторинга угроз для предотвращения подобных инцидентов в будущем.

  • Тайпсквоттинг: угроза для экосистемы Go

    Тайпсквоттинг: угроза для экосистемы Go

    В сообществе языка программирования Go был обнаружен вредоносный пакет, который никто не заметил в течение трех лет. Кирилл Бойченко из компании Socket Security сообщил об этом в своем блоге. Он сказал, что злоумышленники заменили популярный пакет базы данных BoltDB, который используют многие компании, включая Shopify и Heroku.

    BoltDB был создан девять лет назад и не обновлялся уже год. Злоумышленники использовали хитрость, создав поддельный пакет с похожим названием на GitHub. При установке этой подделки в проекте появляется вредоносный код.

    Хотя вредоносная версия была доступна на Go Module Proxy в течение трех лет, она была скачана всего дважды, и оба раза это был один и тот же криптовалютный проект с небольшим количеством подписчиков. Этот инцидент выявил уязвимость в системе управления пакетами Go.

    Компания Socket Security уже обратилась к команде Go с требованием удалить поддельный пакет. Официального ответа от разработчиков Go пока нет.