DDOS-атаки і фішингові листи — вже відомі прийоми, до яких вдаються російські хакери. Але днями вони довели, що ще здатні дивувати.
Виявилось, що зловмисники дають команди зараженим комп’ютерам через коментарі в соцмережах зірок.
В Instagram колись популярної співачки Брітні Спірс виявили коментарі, які є інструкціями для шкідливого ПО, розробленого російською хакерською групою Turla.
Найуважнішими читачами Брітні виявилися фахівці з ESET, компанії, яка займається розробкою антивірусного забезпечення.
Oops!..
Ахіллесова п’ята будь-якого віруса — це центральний сервер (Command and Control або C&C). Через нього вірус оновлюється або отримує інструкції, а також відправляє викрадені дані. Щоб нейтралізувати таке ПО, потрібно в шкідливому коді знайти адресу C&C і перекрити доступ до нього. Саме тому хакери йдуть на різні хитрощі в спробах приховати зв’язок.
Шпигунська програма, виявлена ESET, потрапляла на комп’ютер жертви під виглядом розширення для браузера Firefox. Його пропонувалося завантажити, щоб убезпечити себе в інтернеті. У вихідному коді розширення не було адреси, за якою програма зв’язувалася з сервером творців.
Його можна було отримати в Instagram Брітні Спірс.
Приклад коментаря, який містить команди для керування вірусом.
Вірус шукав коментарі з конкретним хештегом. Коментар містив зашифрований набір символів і був залишений 6 лютого 2017 року під фотографією, яку завантажили на місяць раніше.
Спробувавши розшифрувати коментар, фахівці отримали посилання, створене через ресурс bit.ly. За цим посиланням перейшли всього 17 разів.
ESET припускає, що злодії тільки тестували нову систему.
Turla — група хакерів, яка базується в Росії. За її плечима — безліч атак в інтересах уряду РФ. Тому експерти припускають, що вони або є частиною російської шпигунської системи, або уклали з нею контракт.
Вплив на вибори
Однак це не єдині кіберзлодії, про дії яких стало відомо. Днями в Мережу потрапила секретна доповідь Агентства національної безпеки США (NSA). З неї стали відомі деякі деталі фішинг-атак, які відбулися напередодні президентських виборів у США.
По-перше, є підстави вважати, що нападники безпосередньо входили до складу ГРУ. По-друге, фішингові листи, мета яких — отримати логіни і паролі, були адресовані співробітникам компанії VR System (Флорида).
Це підприємство виробляє і продає ПО, а також необхідне обладнання, яке використовують для організації електронного голосування. Відомо, що VR System мала відношення до виборів у восьми штатах.
У звіті NSA немає жодних доказів того, що атаки були успішними, адже програми VR System не рахують голоси. Можливо, головним завданням хакерів був не зрив виборів, а можливість піддати їх результати сумніву.
За словами Марка Уорнера, віце-голови комітету сенату США з розвідки, доказів того, що атаки 2016 року вплинули на підрахунок голосів, немає.
«Ймовірно, російські хакери все ще відпрацьовують свою тактику. Їх наступною великою метою є Німеччина, де у вересні пройдуть вибори», — вважає Джим Льюїс, фахівець з кібербезпеки в Центрі стратегічних і міжнародних досліджень.
