Неделя в кибербезопасности: Новые угрозы для Android, утечка данных у Asus и агрессивные ботнеты

Мы подготовили сводку самых значимых событий в области кибербезопасности за прошедшую неделю.

Аналитики из израильской компании по кибербезопасности Hudson Rock выявили в архивах хакерской группы Lumma устройство, подвергшееся компрометации, которое принадлежит северокорейскому взломщику.

Исследование показало, что владелец скомпрометированного устройства имеет непосредственное отношение к инфраструктуре, использованной для атаки на платформу Bybit в феврале. Ключевым доказательством стал адрес электронной почты, найденный на устройстве, который ранее упоминался в материалах Silent Push. Он использовался для регистрации фишингового домена незадолго до инцидента с Bybit.

Хотя владелец зараженной системы мог не участвовать в выводе средств непосредственно, эксперты полагают, что его машина входила в общий резерв ресурсов группы Lazarus.

Аналитики сообщили, что заражённый компьютер был высокопроизводительным и специально настроенным для разработки вредоносного ПО. Несмотря на использование VPN для маскировки своего IP под американский, в браузере был установлен китайский язык, а в истории поиска обнаружились запросы на перевод с корейского.

Судя по активности на диске, хакер готовил новую кампанию по фишингу. Также исследователи увидели следы приобретения доменов, имитирующих популярные онлайн-сервисы, и локальные файлы с поддельными установщиками Zoom.

Специалисты Zimperium обнаружили новую вредоносную кампанию, нацеленную на пользователей Android.

Выявленный троян DroidLock сочетает в себе функции программы-вымогателя и шпионской утилиты. По информации специалистов, он распространяется через поддельные сайты, выдающие себя за легитимные приложения, применяя двухступенчатую схему заражения. После установки программа получает права администратора и доступ к скрытым функциям устройства.

Троян в первую очередь нацелен на пользователей испанского языка и может изменять PIN-код, биометрические данные, а также удаленно управлять устройством. Кроме того, DroidLock перехватывает графические ключи, записывает аудио и крадет содержимое SMS и телефонных звонков.

В отличие от традиционных программ-вымогателей, DroidLock не шифрует файлы, а угрожает физическим уничтожением данных. По сигналу сервера на экране пользователя появляется уведомление с требованием выкупа.

Специалисты уже проинформировали команду безопасности Android, и система Google Play Protect теперь выявляет и блокирует эту угрозу.

Эксперты рекомендуют не загружать APK-файлы из ненадежных источников и тщательно оценивать приложения, требующие права администратора устройства.

Новый ботнет Broadside активно заражает системы видеонаблюдения и IoT-шлюзы на коммерческих судах. Об этом сообщает компания Cydome, специалист по морской кибербезопасности.

Данное вредоносное ПО основано на коде Mirai. Его основная угроза заключается в способности проводить мощные DDoS-атаки и скрытно перехватывать видеопотоки. Заражённые устройства могут использоваться как плацдарм для атак на навигационные системы судов, что представляет собой серьезную опасность для безопасности мореплавания.

По информации Cydome, ботнет использует систему подбора слабых паролей для спутниковых терминалов VSAT, которые находятся на судах в открытом море. Заражение происходит в автоматическом режиме, когда жертва входит в зону покрытия. После инфицирования шлюза вредоносное ПО сканирует локальную сеть судна в поисках уязвимостей в системах навигационных карт.

Исследователи предупреждают, что операторы Broadside уже начали предлагать доступ к заражённым сетям судов на теневых форумах. Потенциальные покупатели могут быть как конкурентами логистических компаний, стремящимися получить информацию о маршрутах и грузах, так и пиратами, желающими использовать данные о местоположении судов для планирования атак в рискованных зонах.

Компания Asus подтвердила факт взлома в рамках инфраструктуры одного из её поставщиков. В свою очередь, вымогательская группировка Everest сообщила о масштабной утечке данных. Об этом информирует издание «Хакер».

Мошенники утверждают, что извлекли 1 Тб секретной информации сразу у трёх компаний — Asus, Qualcomm и ArcSoft. По данным проверенных источников, среди украденных материалов оказались исходные коды программного обеспечения для камер смартфонов, специализированные ИИ-модели и внутренние инструменты разработки.

Хакеры даже опубликовали скриншоты взломанных файлов в даркнете в качестве доказательства своих действий.

В Asus заявили, что атака не затронула их собственные серверы и данные клиентов. Утечка касалась лишь части исходного кода программного обеспечения для мобильных камер, находившегося под управлением партнёра. Производитель принял меры по аудиту безопасности цепочки поставок, однако не раскрыл имя скомпрометированного контрагента.

На момент подготовки информации Qualcomm и ArcSoft не прокомментировали возможные утечки данных.

Французские мыслители подчеркнули, что технологии не являются нейтральными. Интернет, задуманный как пространство для свободы, содержит в себе элементы контроля и симуляции.