Деанон пользователей Telegram, разоблачение шпионов из КНДР и другие события кибербезопасности

Cybersec_Digest_3
Cybersec_Digest_3

Мы собрали наиболее важные новости из мира кибербезопасности за неделю.

  • Эксперты разоблачили хакеров APT43, занимающихся шпионажем в пользу КНДР.
  • СМИ узнали об инструменте Ростеха для деанона пользователей Telegram.
  • GitHub удалил репозиторий с исходным кодом Twitter.
  • В Украине задержали банду фишеров, похитивших у жителей ЕС $4,3 млн.

Эксперты разоблачили хакеров APT43, занимающихся шпионажем в пользу КНДР

Аналитики Mandiant представили отчет о северокорейской хакерской группировке APT43, занимающейся шпионажем и кражей криптовалют.

По мнению экспертов, за киберпреступниками стоит Генеральное бюро разведки КНДР, а их главными целями являются правительственные и исследовательские организации в США, Европе, Японии и Южной Корее.

APT43 рассылает жертвам фишинговые электронные письма от вымышленных должностных лиц, перенаправляя их на подконтрольные сайты для сбора учетных данных. В последующем это помогает хакерам авторизовываться в целевых системах. 

Для кражи средств группировка использует вредоносные Android-приложения, нацеленные на владельцев криптовалют из Китая.

Украденные активы отмываются через миксеры и сервисы облачного майнинга с использованием подставных псевдонимов и адресов. При этом за оборудование и инфраструктуру APT43 платит с помощью PayPal, American Express и краденных биткоинов.

GitHub удалил репозиторий с исходным кодом Twitter

Администрация сервиса GitHub удалила частный репозиторий пользователя FreeSpeechEnthusiast, содержащий исходный код Twitter после DMCA-уведомления от соцсети.

В частности, там размещалась информация об уязвимостях в системе безопасности, которые могут позволить хакерам извлечь данные пользователей или отключить сайт Twitter, рассказали источники The New York Times.

Сейчас соцсеть пытается через суд обязать GitHub предоставить идентифицирующую информацию о виновнике утечки и лицах, получивших к ней доступ.

Неизвестно, как долго исходный код Twitter находился в сети. Однако, по информации СМИ, речь идет о «как минимум нескольких месяцах».

Trend Micro нашла ворующую криптовалюты малварь OpcJacker

Исследователи компании Trend Micro обнаружили малварь OpcJacker, которая с середины 2022 года распространялась под видом криптовалютных приложений и других легитимных программ на поддельных сайтах.

Функции OpcJacker включают кейлоггер, создание скриншотов, кражу конфиденциальных данных из браузеров, загрузку дополнительных модулей и подмену криптовалютных адресов в буфере обмена.

Попав на устройство жертвы, малварь заменяет легитимную библиотеку DLL внутри установленной программы на вредоносную. Это позволяет начать загрузку дополнительного зловреда — шифровальщика Babadeda с модифицированной полезной нагрузкой.

opcjacker-1
Данные: Trend Micro.

Основная цель вредоноса пока неизвестна, но его возможности по краже криптовалют указывают на финансовую мотивацию злоумышленника, полагают эксперты.

РКН выступил против анонимных номеров на базе блокчейна

Роскомнадзор предложил использовать оборудование, установленное у провайдеров в рамках закона о суверенном рунете, для ограничения доступа к средствам анонимизации. Об этом сообщает «Коммерсант».

К таковым ведомство отдельно отнесло сервисы по использованию виртуальных номеров телефона. Под это описание подпадают и номера на блокчейн-платформе Fragment, которые можно покупать за криптовалюту для анонимной регистрации в Telegram. 

В случае принятия правительством поправки вступят в силу с 1 марта 2024 года.

В Украине задержали банду фишеров, похитивших у жителей ЕС $4,3 млн

Киберполиция Украины разоблачила участников международной преступной организации, которые с помощью фишинга воровали данные банковских карт.

Фигуранты создали более 100 фишинговых сайтов с дешевыми товарами, ориентированными на европейских пользователей. Вся указанная клиентами платежная информация автоматически становилась известна злоумышленникам. В дальнейшем они присваивали деньги с их счетов.

Группировка также создала call-центры в Виннице и Львове, операторы которых убеждали потенциальных жертв совершать покупки. 

Установлено более 1000 пострадавших из Чехии, Польши, Франции, Испании, Португалии и других стран ЕС. Общая сумма ущерба превышает 160 млн гривен ($4,3 млн).

В ходе серии обысков правоохранители изъяли мобильные телефоны, SIM-карты и компьютерную технику. По фактам мошенничества и создания преступного сообщества открыто уголовное производство. Злоумышленникам грозит до 12 лет тюрьмы с конфискацией.

Двое организаторов арестованы. Также на территории ЕС задержаны еще 10 участников преступной группы. Следствие продолжается.

СМИ узнали об инструменте Ростеха для деанона пользователей Telegram

Российская госкорпорация Ростех купила платформу, которая позволяет раскрывать личности анонимных пользователей Telegram. Об этом говорится в совместном расследовании The Bell и «Медузы».

По их сведениям, программный комплекс под названием «Охотник» исследует свыше 700 открытых источников данных, включая соцсети, блоги, форумы, мессенджеры, доски объявлений, блокчейны криптовалют, даркнет и государственные автоматизированные сервисы.

Полученные имена, никнеймы, адреса электронных почт, номера телефонов, криптокошельки и IP-адреса позволяют установить ассоциации и в конечном итоге идентифицировать администраторов Telegram-каналов.

Журналисты полагают, что основным объектом внимания Ростеха являются авторы, критически настроенные по отношению к государственной политике РФ.

При этом представители общественной организации «РосКомСвобода» указали, что используя только точки данных деанонимизировать владельца канала невозможно. Они предположили, что параллельно госкорпорация эксплуатирует уязвимость нулевого дня в платформе или работает с инсайдером внутри Telegram.

В свою очередь представитель мессенджера заявил в комментарии Bleeping Computer, что наиболее распространенными способами для деанона администраторов канала являются получение платежей за рекламный контент, предоставление доступа сторонним ботам или использование неофициальных приложений Telegram. 

В планах Ростеха в течение 2023 года продать «Охотник» всем управлениям МВД РФ и оперативно-техническим подразделениям ФСБ.

Также на ForkLog:

Что почитать на выходных?

Вместе с экспертами HAPI Labs разбираемся, как «грязная» криптовалюта становится «белой» и каким образом AML-сервисы должны маркировать ее в дальнейшем.

Подписывайтесь на ForkLog в социальных сетях

Telegram (основной канал) Discord Instagram
Нашли ошибку в тексте? Выделите ее и нажмите CTRL+ENTER

Рассылки ForkLog: держите руку на пульсе биткоин-индустрии!

*Ежедневная рассылка — краткая сводка наиболее важных новостей предыдущего дня. Чтение занимает не больше двух минут. Выходит в рабочие дни в 06:00 (UTC)
*Еженедельная рассылка — объясняем, кто и как изменил индустрию за неделю. Идеально подходит для тех, кто не успевает за новостным потоком в течение дня. Выходит в пятницу в 16:00 (UTC).

Мы используем файлы cookie для улучшения качества работы.

Пользуясь сайтом, вы соглашаетесь с Политикой приватности.

OK