"Анонимусы" обещают завалить Нью-Йоркскую биржу

Александр Панасенко 05 Октября 2011 - 14:16

...

В минувшее воскресенье YouTube-канал TheAnonMessage распространил видеозаявление, в котором анонсировал атаку на Нью-Йоркскую фондовую биржу (NYSE). Вчера другие представители движения Anonymous назвали эту акцию подделкой, за которой стоят правоохранительные органы.

Неизвестные, администрирующие видеоканал TheAnonMessage, выразили своё недовольство действиями властей в отношении акции гражданского протеста "Захвати Уолл-Стрит". Акция, суть которой заключается в перекрытии улицы, где расположена крупнейшая фондовая биржа — NYSE, с целью привлечь внимание к коренным проблемам экономики, началась 17 сентября и продолжается до сих пор, передает Вебпланета.

1 октября полиция арестовала порядка 700 участников акции, что, вполне возможно, и побудило "анонимусов" объявить войну Нью-Йоркской бирже. DDoS-атака на сайт NYSE намечена на 10 октября.

Не прошло и двух дней, как на Pastebin появилось сообщение, также подписанное многоликим анонимом. В нём граждан призывают не терять бдительности и воспринимать любое заявление, сделанное якобы "анонимусами", с подозрительностью. В частности, критикуется заявление TheAnonMessage.

"Это ложная операция, внедрённая правоохранительными органами и борцами с киберпреступностью с целью позволить вам подорвать движение "Захвати Уолл-Стрит". Она предлагает вам использовать устаревшие инструменты с известными недостатками вроде LOIC, — говорится в этом заявлении. — Anonymous никогда не скажет вам использовать LOIC — после арестов и неудач Операции "Расплата". Anonymous не атаковал бы NYSE в ВЫХОДНОЙ ДЕНЬ — большой вопрос, атаковал ли бы её Anonymous когда-либо вообще".

Эксперты "Вебпланеты" не могут не согласиться с мнением о том, что к сообщениям Anonymous следует относиться с подозрением. Последнее сообщение не является исключением.

Всё очень просто: сильная сторона движения "анонимусов", то есть их полная анонимность, является одновременно и их слабостью. Сделать заявление от имени "анонимусов" может кто угодно — ибо имя им легион.

Например, нельзя не обратить внимание на то, что канал TheAnonMessage появился всего лишь 23 июля этого года. И точно так же нельзя не обратить внимание на то, что выложить на сервис Pastebin текстовый документ под гостевым аккаунтом может любой.

Кроме того, не очень понятно, какой-такой выходной или праздник будет 10 октября, в понедельник. DDoS-атака действительно объявлена рановато, на 3:30 утра по местному времени, в то время как биржа должна открыться только в 9:30, но обычно атаки "анонимусов" длятся сутками.

Также в сообщении TheAnonMessage отмечается, что использовать LOIC (то есть "низкоорбитальную ионную пушку", из которой постреливают "анонимусы"-любители, часто не озаботившись дополнительным использованием анонимайзера вроде Tor) следует на свой страх и риск и что желающим будут предоставлены другие инструменты для атаки. С другой стороны, это же означает, что "другие инструменты" вполне могут передавать IP-адреса атакующих "куда надо" — впрочем, TheAnonMessage советует также пользоваться анонимайзерами.

Следующая главная новость »

Подписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Татьяна Никитина 22 Ноября 2024 - 15:54

Трояны Домашние пользователи Корпорации

Инфостилер Jarka прожил год на PyPI под видом инструментов интеграции ИИ

Эксперты «Лаборатории Касперского» нашли на PyPI два схожих пакета, якобы реализующих доступ к API популярных ИИ-моделей — GPT-4 Turbo и Claude AI. Анализ показал, что истинной целью в обоих случаях является внедрение зловреда JarkaStealer.

Вредоносные библиотеки gptplus и claudeai-eng были загружены в репозиторий Python-кодов в ноябре прошлого года, притом из-под одного и того же аккаунта. До удаления с подачи Kaspersky их скачали более 1700 раз пользователи из 30 стран (в основном жители США, Китая, Франции, Германии и России).

Описания содержали инструкции по созданию чатов для ИИ-ботов и примеры работы с большими языковыми моделями (БЯМ, LLM). Для имитации заявленной функциональности в код был встроен механизм взаимодействия с демопрокси ChatGPT.

При запуске параллельно происходит загрузка с GitHub файла JavaUpdater.jar — инфостилера Jarka. При отсутствии у жертвы софта Java с Dropbox скачивается JRE.

Внедряемый таким образом вредонос умеет выполнять следующие действия в системе:

собирать системную информацию;
воровать информацию из браузеров;
прерывать процессы Google Chrome и Microsoft Edge (чтобы вытащить сохраненные данные);
отыскивать сессионные токены в Telegram, Discord, Steam, чит-клиенте Minecraft;
делать скриншоты.

Украденные данные архивируются и передаются на C2-сервер. После этого файл с добычей удаляется с зараженного устройства, чтобы скрыть следы вредоносной активности.

Как оказалось, владельцы JarkaStealer продают его в Telegram по модели MaaS (Malware-as-a-Service, «вредонос как услуга»), однако за доступ уже можно не платить: исходники были опубликованы на GitHub. В рекламных сообщениях и коде зловреда обнаружены артефакты, позволяющие заключить, что автор стилера владеет русским языком.

«Обнаруженная кампания подчёркивает постоянные риски, связанные с атаками на цепочки поставок, — отметил эксперт Kaspersky GReAT Леонид Безвершенко. — При интеграции компонентов с открытым исходным кодом в процессе разработки критически важно проявлять осторожность. Мы рекомендуем организациям внедрять строгую проверку целостности кода на всех этапах разработки, чтобы убедиться в легитимности и безопасности внешнего программного обеспечения или внешних компонентов».

Тем, кто успел скачать gptplus или claudeai-eng, рекомендуется как можно скорее удалить пакет, а также обновить все пароли и сессионные токены.