"Лук больше не торт!" - заявили французы

Александр Речицкий 25 Октября 2011 - 22:27

Средства криптографической защиты информации

...

По информации портала thehackernews.com исследователи из ESIEA, французской высшей инженерной школы, обнаружили и воспользовались несколькими существенными уязвимостями в анонимной сети TOR, предоставляющей передачу данных в зашифрованном виде. Они произвели инвентаризацию сети и обнаружили 6 000 компьютеров, IP адреса многих из которых были общедоступны. Исследователи продемонстрировали, что существует возможность взять под контроль сеть и прочитать все сообщения, которые циркулируют по ней.

Но в сети также имеются и скрытые узлы, так называемые Tor Bridges, которые обеспечивают функционирование системы в некоторых случаях. Исследователи разработали скрипт, который идентифицировал и такие узлы в количестве 181. «Сейчас мы располагаем всеобъемлющей картиной топографии сети TOR» - сказал Eric Filiol.

Характер атаки подразумевает создание вируса и использование его для инфицирования подобных уязвимых систем в лабораторных условиях; в результате дешифрованный трафик вновь проходит через систему посредством неизвестных, неописанных процедур. В конце концов полезный трафик переадресовывается на зараженные узлы при помощи провокации отказа в обслуживании (DoS) на чистых узлах системы.

Исследователи продемонстрировали, что уязвимыми являются одна треть узлов, «этого достаточно, чтобы во всех случаях мы могли легко инфицировать и получить системные привилегии», говорит руководитель. Затем исследователи клонируют часть сети для того, чтобы не контактировать с реальной сетью, и создают вирус, с помощью которого они были бы способны обрести контроль над узлом. «Это позволяет нам устанавливать ключи шифрования и таблицы инициализации криптографических алгоритмов и таким образом обойти два уровня шифрования из трех существующих», - говорит Eric Filiol. Оставшийся слой потом может быть расшифрован посредством грубого метода атаки под названием "to clear unknown", основанном на статистическом анализе.

Для ведения коммуникаций с инфицированными узлами исследователи делают недоступными все другие узлы. Для того, чтобы осуществить это, они применяют двойную атаку: локализованная перегрузка, которая включает отправку большого числа запросов TOR на здоровые узлы, и зацикливание пакетов, которое будет завязывать узлы TOR в замкнутую цепь для затопления их паразитным трафиком. В результате протокол TOR будет естественным образом направлять запросы на свободные (но инфицированные) машины, что и требовалось для успеха операции.

Как бы то ни было, если это на самом деле осуществимо, подробная информация может быть предоставлена на конференции Hackers to Hackers в Сан-Пауло 29-30 октября 2011 года. Больше не следует доверять TOR'у обеспечение анонимности и безопасности, и теперь это не более чем дополнительный уровень для "заметания следов". Подобно любой другой darknet-сети TOR стал всего лишь "подкреплением" к шифрованию и аутентификации на уровне приложений.

thehackernews.com исследователи из ESIEA, французской высшей инженерной школы, обнаружили и воспользовались несколькими существенными уязвимостями в анонимной сети TOR, предоставляющей передачу данных в зашифрованном виде. Они произвели инвентаризацию сети и обнаружили 6 000 компьютеров, IP адреса многих из которых были общедоступны. Исследователи продемонстрировали, что существует возможность взять под контроль сеть и прочитать все сообщения, которые циркулируют по ней." />

Следующая главная новость »

Подписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Татьяна Никитина 22 Ноября 2024 - 15:54

Трояны Домашние пользователи Корпорации

Инфостилер Jarka прожил год на PyPI под видом инструментов интеграции ИИ

Эксперты «Лаборатории Касперского» нашли на PyPI два схожих пакета, якобы реализующих доступ к API популярных ИИ-моделей — GPT-4 Turbo и Claude AI. Анализ показал, что истинной целью в обоих случаях является внедрение зловреда JarkaStealer.

Вредоносные библиотеки gptplus и claudeai-eng были загружены в репозиторий Python-кодов в ноябре прошлого года, притом из-под одного и того же аккаунта. До удаления с подачи Kaspersky их скачали более 1700 раз пользователи из 30 стран (в основном жители США, Китая, Франции, Германии и России).

Описания содержали инструкции по созданию чатов для ИИ-ботов и примеры работы с большими языковыми моделями (БЯМ, LLM). Для имитации заявленной функциональности в код был встроен механизм взаимодействия с демопрокси ChatGPT.

При запуске параллельно происходит загрузка с GitHub файла JavaUpdater.jar — инфостилера Jarka. При отсутствии у жертвы софта Java с Dropbox скачивается JRE.

Внедряемый таким образом вредонос умеет выполнять следующие действия в системе:

собирать системную информацию;
воровать информацию из браузеров;
прерывать процессы Google Chrome и Microsoft Edge (чтобы вытащить сохраненные данные);
отыскивать сессионные токены в Telegram, Discord, Steam, чит-клиенте Minecraft;
делать скриншоты.

Украденные данные архивируются и передаются на C2-сервер. После этого файл с добычей удаляется с зараженного устройства, чтобы скрыть следы вредоносной активности.

Как оказалось, владельцы JarkaStealer продают его в Telegram по модели MaaS (Malware-as-a-Service, «вредонос как услуга»), однако за доступ уже можно не платить: исходники были опубликованы на GitHub. В рекламных сообщениях и коде зловреда обнаружены артефакты, позволяющие заключить, что автор стилера владеет русским языком.

«Обнаруженная кампания подчёркивает постоянные риски, связанные с атаками на цепочки поставок, — отметил эксперт Kaspersky GReAT Леонид Безвершенко. — При интеграции компонентов с открытым исходным кодом в процессе разработки критически важно проявлять осторожность. Мы рекомендуем организациям внедрять строгую проверку целостности кода на всех этапах разработки, чтобы убедиться в легитимности и безопасности внешнего программного обеспечения или внешних компонентов».

Тем, кто успел скачать gptplus или claudeai-eng, рекомендуется как можно скорее удалить пакет, а также обновить все пароли и сессионные токены.