В серии космических спутников SATCOM найдены опасные уязвимости

В серии космических спутников SATCOM найдены опасные уязвимости

В серии космических спутников SATCOM найдены опасные уязвимости

Стартовала конференция по кибербезопасности Black Hat, на которой были представлены интересные отчеты из области информационной безопасности. Однако экспертов заинтересовал один, представленный Рубеном Сантамартой, специалистом IOActive. Согласно его докладу, команда IOActive обнаружила уязвимости в серии космических спутников связи SATCOM.

С точки зрения кибербезопасности, это очень серьезное заявление, так как SATCOM используется самолетами, кораблями и воинскими частями по всему миру.

Эксперты отмечают, что злоумышленники не смогут по-настоящему затронуть системы управления самолетом, используя эти уязвимости. Однако они смогут отключить сеть Wi-Fi для пассажиров, или попытаться взломать все подключенные к ней устройства.

Также киберпреступники могут отключить все спутниковые сообщения в полете.

Самые серьезные опасения по части эксплуатации этих брешей связаны с военной и морской сферами. Поскольку эти дыры в безопасности позволяют воздействовать на них удаленно, атакующие могут взломать подключенное уязвимое устройство SATCOM.

Здесь помимо опасности модификации или отключения спутникового сообщения, есть риски, связанные с утечкой местоположения воинских частей — устройства с бортовым GPS могут выдать геолокацию.

Специалистов пугает еще тот факт, что встроенные системы нет возможности удаленно обновить. В некоторых случаях единственный выход — оптовая замена.

Сантамарта в своем докладе уточнил, что команда IOActive активно работает вместе с вендорами и правительственными агентствами над устранением этих уязвимостей.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Новая APT-группа Telemancon нацелилась на российскую промышленность

Специалисты F6 обнаружили новую прогосударственную APT-группу, получившую имя Telemancon. Первые признаки её деятельности зафиксированы ещё в феврале 2023 года, однако детально изучить инфраструктуру и атаки группировки удалось лишь в феврале 2025 года.

Telemancon целенаправленно атакует российские промышленные предприятия, преимущественно компании из сферы машиностроения.

Для проведения атак группировка использует специально разработанный дроппер TMCDropper и бэкдор TMCShell. Название Telemancon составлено из трех уникальных признаков:

  1. «tele» обозначает использование сервиса telegra.ph для связи с командным сервером.
  2. «man» происходит от слова manufactory (производство), подчеркивая промышленную направленность атак.
  3. «con» указывает на сохранение полезной нагрузки в папке %userprofile%\Contacts.

Одна из атак была направлена на российского разработчика и производителя военной техники и транспортных средств.

Сотруднику компании было направлено письмо с архивом «запрос5161.7z», содержащим вредоносный файл «20250203_5_161.scr». Данный файл представляет собой дроппер, написанный на языке C++, получивший название TMCDropper.

 

Основные функции TMCDropper включают проверку на запуск в отладочной среде или песочнице, извлечение и закрепление на устройстве бэкдора TMCShell, а также отображение документа-приманки в формате PDF для маскировки реальных намерений атаки.

В блоге F6 можно найти полный разбор кампании Telemancon.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru