Угрозы дня: Взломанные сайты как товар. Ботнет Black Rose Lucy для мобильных устройств

2018-09-21 | Автор | комментарии
Министерство обороны США будет взламывать атакующие страны. Тысячи взломанных веб-сайтов продаются на русскоязычном подпольном форуме MagBo. Российский ботнет Black Rose Lucy атакует мобильные устройства

Угрозы дня: Взломанные сайты как товар. Ботнет Black Rose Lucy для мобильных устройств

Министерство обороны США: мы будем взламывать атакующие страны

Министерство обороны США впервые обновило свою кибер-стратегию с 2015 года, выступая за более агрессивный подход к защите. Согласно новому стратегическому видению Пентагона, военные должны быть готовы нарушить хакерские атаки, прежде чем они достигнут компьютерных сетей США. Возможно, самое спорное в рамках новой стратегии США является следующее: «осуществление защиты должно быть таким образом, чтобы в случае злономерной кибер деятельности мы могли остановить атаку непосредственно на её источнике».

Министерство обороны заявило, что это означает «противостояние угрозам, прежде чем они достигнут компьютерных сетей США». Это смелая, но потенциально рискованная стратегия, так как часто бывает сложно обнаружить источник атаки - особенно когда они запускаются из компьютерных систем, которые сами были скомпрометированы, чтобы замаскировать истинную идентификацию и местоположение злоумышленников. И угроза для принятия мер против хакеров может также увеличить шансы других государств предпринять аналогичные действия против зондирующих атак.

США давно сообщили, что несколько стран - особенно Россия, Китай, Северная Корея и Иран - использовали кибератаки, для того чтобы украсть секретные данные или вмешаться в политику страны, а новая кибер-стратегия является частью попытки правительства США сдержать эти атаки. Кроме того в новой стратегии говорится о том, что США будут шпионить за своими соперниками: «Мы будем проводить операции в киберпространстве для сбора информации и подготовки военных кибер-ресурсов, которые будут использоваться в случае кризиса или конфликта».

Тысячи взломанных веб-сайтов продаются на русскоязычном подпольном форуме MagBo

Недавно открытый подпольный форум MagBo рекламирует доступ к более чем 3 000 взломанным веб-сайтам. "Этот подпольный форум заселен более чем десятками вендоров и сотней покупателей, которые продают и участвуют в аукционах для получения доступа к взломанным сайтам, базам данных и панелям администратора", - сообщает Виталий Кремез, исследователь Flashpoint. Большинство скомпрометированных сайтов, найденных в MagBo, принадлежат учреждениям здравоохранения, юридической и страховых сфер, а также правительственным учреждениям. Исследователь сообщил, что он не может озвучить названия сайтов из-за продолжающегося расследования правоохранительных органов, но многие из них являются известными онлайн-ресурсами. Также он сообщил, что владельцы данных ресурсов сейчас уведомляются о происшедшем.

Стоимость доступа к взломанному сайту варьируется от 50 центов до 1000 долларов США, основываясь на системе ранжирования, которая показывает различные параметры сайта, включая "посещения в день", "индексируемые страницы в Google", рейтинг Alexa, рейтинг страны на которую направлена работа сайта. На подпольном форуме также раскрываются описания уровней привилегий для сайтов с такими маркировками, как "разрешения на полный доступ", "способности редактировать контент" и "добавлять контент". Самый дорогой взломанный веб-сайт (более 1000 долларов в MagBo) имеет более 30 000 уникальных посетителей в день. Кроме того, на форуме MogBo продаются украденные фотокопии национальных документов для мошенничества с идентификационными данными, возможности для нарушения доступа к платежному кошельку, скомпрометированные учетные записи в социальных сетях и кощельков криптовалюты Bitcoin (для совершения транзакций и цифровых активов, анонимных на блочной цепочке). Flashpoint обнаружил, что, согласно рекламным объявлениям, сайты, перечисленные в MagBo, были взломаны путем доступа к PHP shell, хостингу или управлению доменами, FTP, SSH, SQL или панелям администрирования.

Российский ботнет атакует мобильные устройства

Исследовательская группа Checkpoint обнаружила новую вредоносную программу, разработанную российской группой злоумышленников. Вредоносная программа с названием Black Rose Lucy управляется с помощью серверов и распространяется методом "Вредоносное ПО как услуга" (Malware-as-a-Service).

Данный метод "Вредоносное ПО как услуга" - является популярным способом аренды аппаратных и программных средств для проведения кибератак. Пакет вредоносной программы состоит из двух частей: удаленное управление с названием "Lucy Loader" и непосредственно вредоносной программы для установки, эта часть вредоносного пакета называется "Dropper Black Rose". С помощью системной службы Accessibility Service вредоносная программа может устанавливаться на устройства Android без какого-либо взаимодействия с пользователем, так же стало известно, что вредоносная программа может быть установлена не только с помощью APK файла, но и с помощью DEX файлов, таким образом установка может быть динамической.

Образцы семейства Black Rose маскируются под файлы изображений либо как часть обновлений системы, кроме того, вредоносная программа обладает самозащитой. Отдельно стоит обратить внимание на следующий факт: в коде Black Rose исследователями были найдены отдельные механизмы для работы в операционных системах MIUI устройствах Xiaomi. Именно в механизме самозащиты уделяется большое внимание китайским системам безопасности и системным инструментам. Эти наблюдения заставляют полагать, что следующей атакой Black Rose Lucy вполне может стать Китай, крупнейший рынок телефонов Android, а также страны, в которых популярны китайские телефоны (например, страны СНГ). Специалисты обратили внимание на структуру кода вредоносной программы: "Структура кода Black Rose очень аккуратная и лаконичная. Существует очень мало избыточных или неиспользуемых кодов. Это означает, что группировка злоумышленников Lucy Gang является оригинальными разработчиками, которые имеют четкую цель."

Нашли опечатку? Нажмите Ctrl+Enter

Комментарии и отзывы

Добавляя комментарий, ознакомьтесь с Правилами сообщества