Южная Корея сообщает об обострении положения с кибератаками

Александр Панасенко 10 Июля 2009 - 13:16

...

Власти Южной Кореи сообщают, что кибератаки, совершаемые вот уже 4-е сутки в адрес крупнейших местных порталов и государственных сайтов, становятся все более активными и настойчивыми. Если в первые три дня они доставляли больше неудобства пользователям, которые не могли зайти на те или иные ресурсы, то теперь корейские ИТ-специалисты зафиксировали попытки целенаправленных атак с целью уничтожения данных на конкретных серверах, а также попытки проникновения в частные и закрытые государственные сети.

В итоге корейское информационное агентство Йонхап сегодня сообщило о том, что все интернет-провайдеры Южной Кореи заблокировали для себя трафик, исходящих из пяти сетей, которые наиболее активно атакуют ИТ-ресурсы. Известно, что заблокированы сети в самой Южной Корее, Германии, США, Австрии и Грузии. Кроме того, в заявлении Комиссии по телекоммуникациям Кореи говорится, что эти сети не только атакуют корейский сегмент интернета, но и пытаются инфицировать сайты вредоносным программным обеспечением.

По словам экспертов, сейчас несколько десятков корейских сайтов находятся под довольно активными DDoS-атаками. Проблемы подобного масштаба последний раз отмечались в Южной Корее в 2003 году, когда сетевой червь Slammer обрушил буквально каждый третий интернет-сервер в Корее.

По данным местной антивирусной компании Ahnab, утром 10 июля ее специалистами были зафиксированы неопознанные вредоносные коды, задача которых заключалась в банальном удалении всего содержимого жестких дисков серверов. Эти программы распространялись из нескольких разных сетей, в том числе и тех, что уже заблокированы.

Всего за 4 дня в Корее зафиксированы атаки, исходящие с 86 адресов или подсетей в 16 странах, впрочем в Национальном разведывательном комитете Кореи говорят, что почти все эти адреса являются либо поддельными, либо там работают бот-сети. Несмотря на это, большинство экспертов в Южной Корее сходится во мнении, что виновник и инициатор происходящего - северный сосед. За последние несколько недель отношения между Северной и Южной Кореей обострились до предела.

На данный момент почти все корейские сводки новостей в стране начинаются с данных о ситуации с кибератаками.

Источник

Следующая главная новость »

Подписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Татьяна Никитина 22 Ноября 2024 - 15:54

Трояны Домашние пользователи Корпорации

Инфостилер Jarka прожил год на PyPI под видом инструментов интеграции ИИ

Эксперты «Лаборатории Касперского» нашли на PyPI два схожих пакета, якобы реализующих доступ к API популярных ИИ-моделей — GPT-4 Turbo и Claude AI. Анализ показал, что истинной целью в обоих случаях является внедрение зловреда JarkaStealer.

Вредоносные библиотеки gptplus и claudeai-eng были загружены в репозиторий Python-кодов в ноябре прошлого года, притом из-под одного и того же аккаунта. До удаления с подачи Kaspersky их скачали более 1700 раз пользователи из 30 стран (в основном жители США, Китая, Франции, Германии и России).

Описания содержали инструкции по созданию чатов для ИИ-ботов и примеры работы с большими языковыми моделями (БЯМ, LLM). Для имитации заявленной функциональности в код был встроен механизм взаимодействия с демопрокси ChatGPT.

При запуске параллельно происходит загрузка с GitHub файла JavaUpdater.jar — инфостилера Jarka. При отсутствии у жертвы софта Java с Dropbox скачивается JRE.

Внедряемый таким образом вредонос умеет выполнять следующие действия в системе:

собирать системную информацию;
воровать информацию из браузеров;
прерывать процессы Google Chrome и Microsoft Edge (чтобы вытащить сохраненные данные);
отыскивать сессионные токены в Telegram, Discord, Steam, чит-клиенте Minecraft;
делать скриншоты.

Украденные данные архивируются и передаются на C2-сервер. После этого файл с добычей удаляется с зараженного устройства, чтобы скрыть следы вредоносной активности.

Как оказалось, владельцы JarkaStealer продают его в Telegram по модели MaaS (Malware-as-a-Service, «вредонос как услуга»), однако за доступ уже можно не платить: исходники были опубликованы на GitHub. В рекламных сообщениях и коде зловреда обнаружены артефакты, позволяющие заключить, что автор стилера владеет русским языком.

«Обнаруженная кампания подчёркивает постоянные риски, связанные с атаками на цепочки поставок, — отметил эксперт Kaspersky GReAT Леонид Безвершенко. — При интеграции компонентов с открытым исходным кодом в процессе разработки критически важно проявлять осторожность. Мы рекомендуем организациям внедрять строгую проверку целостности кода на всех этапах разработки, чтобы убедиться в легитимности и безопасности внешнего программного обеспечения или внешних компонентов».

Тем, кто успел скачать gptplus или claudeai-eng, рекомендуется как можно скорее удалить пакет, а также обновить все пароли и сессионные токены.