Dell SecureWorks определила пострадавших от RAT Comfoo

Троян Comfoo – гроза бизнеса и государства

Вредоносная программа Comfoo, использовавшаяся в 2010 году для взлома RSA, продолжает атаковать корпоративные и правительственные сети по всему миру. К такому неутешительному выводу пришли исследователи Dell SecureWorks, обнаружившие более 200 вариантов трояна.

Представители Dell SecureWorks Джо Стюарт (Joe Stewart) и Дон Джексон (Don Jackson) опубликовали новый отчет по исследованию угроз, в котором подробно описывается ситуация с трояном Comfoo. Он используется по всему миру для проникновения в закрытые сети, где большинство корпораций и правительственных организаций хранят важные данные. Банковские счета, торговые секреты и конфиденциальные правительственные программы – все эти данные лакомый кусок дляпреступников.

Согласно отчету, сегодня участились случаи APT (Advanced persistent threat) атак. Специалисты, занимающиеся APT, как правило, хорошо обучены, обладают доступом к техническим и финансовым ресурсам. Для проникновения в чужую сеть команды взломщиков чаще всего используют вредоносное программное обеспечение. При успешном получении доступа к сети, хакеры похищают необходимые им данные.

Ярким примером того стала кампания Comfoo. Эта система работает с 2006 года. Впервые о существовании угрозы мир узнал в 2010 году, после утечки данных из компании RSA. Согласно исследованию, RAT Comfoo использовался во время 64 нападений по всему миру. За последнее время было создано несколько сотен вариантов этой программы.

Чтобы проникнуть в корпоративную сеть Comfoo RAT часто заменяет собой DLL существующего, но неиспользуемого сервиса (новая служба при этом не устанавливается). Из-за этого вирус сложнее заметить системным администраторам. Руткит также используется для маскировки файлов Comfoo на диске. Трафик, который создается приложением, шифруется и перенаправляется в нужное место.

Местоположение главных жертв Comfoo.

Исследователям удалось определить, как Comfoo работает. Программа скачивает файлы, выполняет определенные команды и даже умеет открывать доступ к информации третьим лицам. По словам Dell SecureWorks, этим вирусом инфицированы правительственные и корпоративные сети в США, Европе и странах Азиатско-Тихоокеанского региона. Взломщики выбирают целью многие японские и индийские сайты, а также образовательные учреждения, медиа-, телекоммуникационные и энергетические компании. Часто хакеры также нападают на фирмы, предоставляющие услуги аудио- или видеоконференций. Эксперты полагают, что взломщики нападают на эти компании в поисках интересующей их интеллектуальной собственности или прослушивания переговоров.

Dell пока не сообщила название пострадавших компаний, но уже проинформировала их о взломе. По их оценкам в мире существуют еще и сотни других фирм, которые уязвимы перед Comfoo.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Хостинг-провайдеры поднимают цены со ссылкой на СОРМ

Российские хостинг-провайдеры запланировали на начало 2025 года повышение цен на свои услуги в среднем на 10%. Главным мотивом они называют исполнение требований по установке систем оперативно-разыскных мероприятий (СОРМ), которое распространили на данный сегмент год назад.

О соответствующем решении пишет «КоммерсантЪ». Увеличение цен колеблется от 5% до 15%. Помимо внедрения СОРМ, мотивом источники издания в отрасли также называют изменения в налогообложении, принятые в 2024 году.

«Сейчас затраты на программную СОРМ находятся в пределах 5-10 млн руб., если же речь идет о необходимости программно-аппаратной СОРМ, то к уже названной сумме добавляется "железо", на которое налагается ряд требований, в том числе о наличии сертификации», — прокомментировал генеральный директор RuVDS Никита Цаплин.

Основатель компании ITG Дмитрий Гачко добавил, что системы СОРМ также нуждаются в дополнительных каналах связи и кадрах для обслуживания, что увеличивает административную нагрузку и также сказывается на ценах.

В Минцифры изданию сообщили, что не получали жалоб на рост цен оборудования СОРМ со стороны операторов связи и провайдеров. Там обещали совместно с ФАС следить за ценами и проводить проверки при подозрениях на их повышение.

Генеральный директор производителя СОРМ «Норси-Транс» Сергей Овчинников назвал оценку, которая связывает рост цен на данный вид оборудования и повышение стоимости услуг хостинга некорректной. В 2024 году требования по установке данных систем компании только начали выполнять, и он не мог значимо повлиять на их издержки и соответственно ценообразование.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru