Эксперты компании Trustwave SpiderLabs изучили эксплоит кит Sundown, впервые обнаруженный специалистами еще в 2015 году. После исчезновения с «рынка» лидеров данной области, эксплоит китов Angler и Nuclear, авторы Sundown начали активно развивать свою разработку, очевидно, стремясь занять освободившуюся нишу.
Однако аналитики Trustwave SpiderLabs пишут, что на самом деле Sundown попросту ворует чужие эксплоиты, а лидирующие позиции в этой сфере по-прежнему занимают наборы Neutrino и RIG.
Подозрительную активность авторов Sundown первыми заметили специалисты компании Zscaler. В июне 2016 года Sundown вдруг начал обновляться, хотя раньше разработчики явно не стремились поддерживать актуальность своего «продукта». Так как активность началась после исчезновения эксплоит китов Angler и Nuclear, исследователи сделали вывод, что злоумышленники пытаются воспользоваться ситуацией и обратить неприятности конкурентов себе на пользу.
Напомню, что деятельность Angler была прекращена в связи с арестом участников хакерской группы Lurk, о деятельности которой недавно детально рассказали представители «Лаборатории Касперского». Разработчика Nuclear, в свою очередь, напугали исследователи компании Check Point, которые сумели детально изучить инфраструктуру всего сервиса, а затем написать об этом развернутый отчет. Специалисты также сумели идентифицировать автора эксплоит кита, сообщив, что это россиянин, проживающий в Краснодаре и зарабатывающий на своем детище порядка 100 000 долларов в месяц. Через несколько дней после выхода отчета Nuclear свернул все свои операции,
Специалисты Trustwave SpiderLabs, изучившие обновленный Sundown более внимательно, тоже полагают, что разработчики Sundown решили воспользоваться ситуацией. Более того, оказалось, что создатели эксплоит кита решили пойти по пути наименьшего сопротивления. Так, кодинг панели и DGA (Domain Generation Algorithm) были отдан на аутсорс группировке Yugoslavian Business Network, а все новые эксплоиты в составе набора оказались попросту украдены у конкурентов, разрабатывающих другие эксплоит киты.
Специалисты Trustwave SpiderLabs сообщают, что теперь в состав Sundown входят эксплоиты «позаимствованные» у Angler (для бага в IE: CVE-2015-2419), RIG (для бага в Silverlight: CVE-2016-0034), эксплоит из набора, похищенного у Hacking Team (для бага во Flash: CVE-2015-5119), а также эксплоит из Magnitude (для бага во Flash: CVE-2016-4117).
Совершено очевидно, что подобная тактика работает не слишком хорошо. Если авторы Sundown действительно хотят составить конкуренцию разработчикам других наборов, им придется обзавестись более внушительным арсеналом и начать писать эксплоиты самостоятельно.
Так, согласно данным Zscaler, наиболее опасными и популярными наборами эксплоитов по-прежнему являются Neutrino и RIG. Статистика, собранная за минувшее лето гласит, что Neutrino в основном занимается распространением дроппера малвари Gamarue, трояна Tofsee, а также вымогателей CryptXXX и CripMIC. RIG, в свою очередь, занимается доставкой трояна Tofsee, шифровальщика Cerber, а также банковских троянов Gootkit и Vawtrack. С большим отставанием этот список топовых эксплоит китов замыкают Magnitude, распространяющий вымогателя Cerber, и Sundown, который, по данным экспертов, этим летом в основном распространял бэкдор Kasidet.
Александр Винник, обменянный на гражданина США Марка Фогеля, в настоящее время находится в специальной зоне и ожидает отправки в Россию. Об этом сообщил его адвокат Фредерик Бело.
По словам Бело, американский маршал, ответственный за сопровождение Винника в рамках обмена, прибыл еще 12 февраля. Он ожидает, что Винник прибудет в Россию в ближайшие дни.
«Сейчас он находится в особой зоне в ожидании трансфера. Маршрут его перемещения не раскрывается, это конфиденциальная информация. Мы ждем подтверждения, что он в самолете и направляется в Россию», — заявил адвокат.
Александр Винник был арестован в Греции в 2017 году. Ему предъявили обвинения в отмывании от 4 до 9 миллиардов долларов и возможной причастности к атаке на биржу Mt. Gox.
Позднее обвинения в мошенничестве и краже личных данных выдвинули французские власти, после чего в 2020 году его экстрадировали во Францию. Там суд приговорил его к пяти годам заключения. В 2022 году Винник был передан в США, где до 12 февраля 2024 года продолжалось разбирательство.
В России против Винника также выдвинуты обвинения в мошенничестве на сумму 750 миллионов рублей, и в 2018 году он был заочно арестован.
Фредерик Бело отметил, что его подзащитный был обменян в приоритетном порядке по гуманитарным причинам:
«Для него это было тяжелое время. Он не смог проститься с женой перед ее смертью. Сейчас ему необходимо восстановить связь с семьей, с детьми, которых он не видел много лет». Адвокат также выразил уверенность в невиновности Винника.
Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017 Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.
