Германия планирует арестовать российского хакера за взлом парламента

Германия планирует арестовать российского хакера за взлом парламента

Германия планирует арестовать российского хакера за взлом парламента

Правоохранительные органы Германии выдали ордер на арест киберпреступника, якобы работающего на Россию. Молодому человеку вменяют взлом бундестага — инцидент, произошедший весной 2015 года.

Согласно опубликованной немецкими СМИ информации, правоохранители ищут 29-летнего Дмитрия Сергеевича Бадина, проживающего в Курске.

Обвинители считают, что Бадин состоит в военном подразделении номер 26165, входящем в состав Главного управления Генерального штаба Вооружённых сил Российской Федерации (бывший ГРУ).

Работая на спецслужбы, хакер якобы осуществлял кибершпионские операции в интересах России. Немецкие правоохранители считают, что Бадин входил в состав киберпреступной группы ATP28 (также известна под именами Fancy Bear, Sofacy, Strontium, Grizzly Steppe).

Прокуроры заявили, что с апреля по 20 мая 2015 года участники Fancy Bear взломали внутреннюю сеть немецкого парламента (бундестаг) с помощью вредоносных писем, замаскированных под уведомления от ООН.

Злоумышленники хотели убедить сотрудников парламента, что в этих электронных письмах содержится информация о вмешательстве России в столкновения на Украине.

После открытия такого письма на компьютер жертвы устанавливалась вредоносная программа, открывающая хакерам доступ к заражённой системе. Оттуда вредонос мог спокойно распространиться на всю сеть бундестага, в которую входят более 5 600 компьютеров.

Как утверждают немецкие СМИ, правоохранители смогли связать используемые в атаках инструменты с личностью гражданина России Бадина.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Началась массовая эксплуатация критической PHP-уязвимости

Исследователи из GreyNoise зафиксировали массовую эксплуатацию критической уязвимости CVE-2024-4577 (9.8 балла по CVSS) в PHP. Уязвимость позволяет злоумышленникам удалённо выполнять код на Windows-серверах, работающих с Apache и PHP-CGI.

Информация о CVE-2024-4577 появилась в июне 2024 года, и уже через два дня исследователи обнаружили первые попытки эксплуатации со стороны операторов программы-вымогатели.

В январе 2025 года Cisco сообщила, что уязвимость активно используется в атаках против японских компаний в сферах образования, развлечений, электронной коммерции, технологий и телекоммуникаций.

Злоумышленники с помощью эксплойта получали системные привилегии, меняли данные в системном реестре, добавляли запланированные задачи и создавали вредоносные сервисы, применяя плагины Cobalt Strike.

Теперь GreyNoise предупреждает, что атаки распространились далеко за пределы Японии. В январе 2025 года 1089 уникальных IP-адресов пытались эксплуатировать CVE-2024-4577, эти атаки зафиксировали в США, Великобритании, Сингапуре, Индонезии, Тайване, Гонконге, Индии, Испании и Малайзии.

Более 43% атакующих IP-адресов были зарегистрированы в Германии и Китае. В феврале зафиксировано дальнейший рост числа атак, что указывает на автоматизированный поиск уязвимых серверов по всему миру.

Ошибка связана с тем, что в Windows PHP-CGI не учитывает особенности конвертации Unicode-символов в ANSI-формат (функция «Best-Fit»). Это позволяет злоумышленникам отправлять специальные последовательности символов, которые интерпретируются как аргументы командной строки PHP, что приводит к выполнению произвольного кода.

Дыру устранили в PHP 8.1.29, 8.2.20 и 8.3.8.

На данный момент в публичном доступе имеется 79 эксплойтов для CVE-2024-4577, что делает угрозу крайне актуальной для администраторов и разработчиков, использующих PHP на Windows.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru