FireEye отвергла обвинения во взломе китайских правительственных хакеров

Олег Иванов 27 Июня 2018 - 11:11

...

Компания FireEye всячески опровергает слухи о том, что ее представители взломали ноутбуки, принадлежащие китайским военным хакерам. Речь идет о китайской киберпреступной группе, известной как APT1.

Общеизвестный факт — приобретенная FireEye компания Mandiant давно охотилась за APT1. В своем отчете за 2013 год Mandiant записала на счет этих киберпреступников акции шпионажа против 141 компании в 20 различных отраслях.

Также в отчете упоминается, что эта группа тесно сотрудничает с Подразделением 61398 (подразделение Народно-освободительной армии Китая, базирующееся в Шанхае, отвечает за проведение военных операций в области компьютерных сетей).

Корреспондент New York Times Дэвид Сангер утверждает, что Mandiant осуществляла операцию «ответный взлом» («hack-back»), в рамках которой ее сотрудники шпионили за китайскими киберпреступниками через веб-камеры на взломанных ноутбуках.

Об этом Сангер рассказал в своей книге «The Perfect Weapon».

Однако FireEye категорически отвергает данные обвинения в своем официальном заявлении, которое гласит, что метод «hack-back» не использовался специалистами Mandiant при выведении группы APT1 на чистую воду.

«Однозначно заявляем — Mandiant не применяла метод “hack-back” в ходе расследования деятельности группы APT1. Мы вообще не используем этот метод, а также не одобряем практику его использования», — заявили в FireEye.

По словам компании, Дэвид Сангер неправильно интерпретировал показанное ему видео, приняв его за реальные доказательства шпионажа за китайскими правительственными хакерами. С самим видео можно ознакомиться ниже.

В начале месяца FireEye, работающая в области информационной безопасности, заявила, что киберпреступники из России и Китая атаковали южнокорейские интернет-ресурсы. Конкретные сайты, подвергшиеся атаке, компания на данный момент не называет.

Как отмечают исследователи FireEye, речь идет о киберпреступной группировке Turla, которую уже давно связывают с Россией.

Следующая главная новость »

Подписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Татьяна Никитина 22 Ноября 2024 - 15:54

Трояны Домашние пользователи Корпорации

Инфостилер Jarka прожил год на PyPI под видом инструментов интеграции ИИ

Эксперты «Лаборатории Касперского» нашли на PyPI два схожих пакета, якобы реализующих доступ к API популярных ИИ-моделей — GPT-4 Turbo и Claude AI. Анализ показал, что истинной целью в обоих случаях является внедрение зловреда JarkaStealer.

Вредоносные библиотеки gptplus и claudeai-eng были загружены в репозиторий Python-кодов в ноябре прошлого года, притом из-под одного и того же аккаунта. До удаления с подачи Kaspersky их скачали более 1700 раз пользователи из 30 стран (в основном жители США, Китая, Франции, Германии и России).

Описания содержали инструкции по созданию чатов для ИИ-ботов и примеры работы с большими языковыми моделями (БЯМ, LLM). Для имитации заявленной функциональности в код был встроен механизм взаимодействия с демопрокси ChatGPT.

При запуске параллельно происходит загрузка с GitHub файла JavaUpdater.jar — инфостилера Jarka. При отсутствии у жертвы софта Java с Dropbox скачивается JRE.

Внедряемый таким образом вредонос умеет выполнять следующие действия в системе:

собирать системную информацию;
воровать информацию из браузеров;
прерывать процессы Google Chrome и Microsoft Edge (чтобы вытащить сохраненные данные);
отыскивать сессионные токены в Telegram, Discord, Steam, чит-клиенте Minecraft;
делать скриншоты.

Украденные данные архивируются и передаются на C2-сервер. После этого файл с добычей удаляется с зараженного устройства, чтобы скрыть следы вредоносной активности.

Как оказалось, владельцы JarkaStealer продают его в Telegram по модели MaaS (Malware-as-a-Service, «вредонос как услуга»), однако за доступ уже можно не платить: исходники были опубликованы на GitHub. В рекламных сообщениях и коде зловреда обнаружены артефакты, позволяющие заключить, что автор стилера владеет русским языком.

«Обнаруженная кампания подчёркивает постоянные риски, связанные с атаками на цепочки поставок, — отметил эксперт Kaspersky GReAT Леонид Безвершенко. — При интеграции компонентов с открытым исходным кодом в процессе разработки критически важно проявлять осторожность. Мы рекомендуем организациям внедрять строгую проверку целостности кода на всех этапах разработки, чтобы убедиться в легитимности и безопасности внешнего программного обеспечения или внешних компонентов».

Тем, кто успел скачать gptplus или claudeai-eng, рекомендуется как можно скорее удалить пакет, а также обновить все пароли и сессионные токены.