[ { "id": 1, "label": "100%×150_Branding_desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "ezfl" } } }, { "id": 2, "label": "1200х400", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "ezfn" } } }, { "id": 3, "label": "240х200 _ТГБ_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "i", "ps": "cndo", "p2": "fizc" } } }, { "id": 4, "label": "240х200_mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "i", "ps": "cndo", "p2": "flbq" } } }, { "id": 5, "label": "300x500_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "ezfk" } } }, { "id": 6, "disable": true, "label": "1180х250_Interpool_баннер над комментариями_Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "clmf", "p2": "ffyh" } } }, { "id": 7, "disable": true, "label": "Article Footer 100%_desktop_mobile", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fjxb" } } }, { "id": 8, "label": "Fullscreen Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "fjoh" } } }, { "id": 9, "label": "Fullscreen Mobile", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "fjog" } } }, { "id": 10, "disable": true, "label": "Native Partner Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyb" } } }, { "id": 11, "disable": true, "label": "Native Partner Mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyc" } } }, { "id": 12, "label": "Кнопка в шапке", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "fdhx" } } }, { "id": 13, "label": "DM InPage Video PartnerCode", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox_method": "create", "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "cndo", "p2": "flvn" } } } ] { "gtm": "GTM-NDH47H" }
{ "author_name": "Женя Кузьмин", "author_type": "self", "tags": ["2hot","hot","x"], "comments": 23, "likes": 37, "favorites": 4, "is_advertisement": false, "section": "default" }
10 286

Взлом или Инстаграм

«Русские хакеры» из Turla используют комментарии под фотографиями Бритни Спирс в Инстаграме для управления вредоносной программой.

Поделиться

В избранное

В избранном

Бритни Спирс. Фото Дэвида Бэккера

6 июня исследователи из компании ESET рассказали, что обнаружили новую вредоносную программу, созданную знаменитой русскоязычной хакерской группировкой Turla. По словам специалистов, найденный троян использует комментарии в инстаграме певицы Бритни Спирс, чтобы скрыть свою активность и передать украденные данные.

Вредоносная программа содержится в расширении для браузера Firefox под названием HTML5 Encoding, которое маскировалось под приложения для безопасной работы в интернете. Хакеры из Turla взломали сайт швейцарской компании по безопасности и предлагали пользователям установить приложение с трояном.

По словам исследователей из ESET, инструмент для взлома сам по себе является «простым»: при установке расширения создаётся бэкдор, который даёт злоумышленникам полный доступ к нужному устройству. Специалисты предположили, что хакеры адаптировали вредоносное ПО, распространяемое через документы Microsoft Word в 2016 году.

Несмотря на «простоту», Turla использовали нестандартный способ связи с командно-контрольными серверами (C&C servers), с которых заражённым компьютерам даются инструкции. Также они выступают в качестве хранилища украденной информации. Однако исследователи не нашли в коде расширения HTML5 Encoding адреса серверов. Позже оказалось, что вредоносная программа находила его в зашифрованных сообщениях в Инстаграме.

Один из них был размещён под фотографией певицы Бритни Спирс. Расширение искало комментарий, в котором была зашифрована ссылка на нужный сервер. Так хакеры планировали замести следы в случае обнаружения вредоносной программы.

По данным ESET, замаскированной ссылкой оказался с виду обычный комментарий «#2hot make loved to her, uups #Hot #X» от одного из пользователей.

Исследователи отметили, что с февраля 2017 года по ссылке перешли всего 17 раз. Это может означать, что хакеры лишь тестировали новый способ скрывать данные серверов.

По словам сотрудников ESET, использование соцсетей в качестве маскировки для вредоносных программ может сильно осложнить работу компаниям, специализирующимся на кибербезопасности. Если хакеры из Turla выведут троян из «тестового режима», то их атаки будет намного тяжелее отследить.

Во-первых, в социальных сетях сложно отличить вредоносный трафик от легитимного. Во-вторых, это даёт взломщикам большую гибкость в вопросах, касающихся необходимости сменить адреса серверов или уничтожить все следы.

из материала ESET

Компания ESET связалась с разработчиками Firefox и рассказала им об уязвимости. По словам исследователей, сейчас они совместно работают над обновлением браузера, после которого подобные расширения не будут представлять угрозы.

Группировку Turla СМИ часто называют «хакерами Кремля». По информации западных изданий, взломщиков активно поддерживает правительство России, а их костяк составляют «русскоязычные». В сентябре 2015 года в «Лаборатории Касперского» заявили, что Turla скрывает местонахождение своих серверов с помощью спутников.

Долгое время считалось, что группировка начала свою деятельность в 2007 году. Однако позже «Лаборатория Касперского» назвала Turla «продолжателями дела» взломщиков из 90-х — Moonlight Maze, ответственных за одну из первых операций по кибершпионажу. Исследователи смогли связать две группировки с помощью старого компьютера, взломанного в 1996 году тем же способом, каким Turla пользовалась в 2011 году.

Популярные материалы
Показать еще
{ "is_needs_advanced_access": true }

Лучшие комментарии

Дискуссии по теме
доступны только владельцам клубного аккаунта

Купить за 75₽
Авторизоваться

Преимущества
клубного аккаунта

  • отсутствие рекламы
  • возможность писать комментарии и статьи
  • общение с членами клуба
Подробнее

Преимущества
клубного аккаунта

  • отсутствие рекламы
  • возможность читать и писать комментарии
  • общение с членами клуба
  • возможность создавать записи

Сколько это стоит?

Членство в клубе стоит всего 75₽ в месяц. Или даже дешевле при оплате за год.

Что такое клуб?

Клуб ТЖ это сообщество единомышленников. Мы любим читать новости, любим писать статьи, любим общаться друг с другом.

Вступить в клуб

Комментарии Комм.

Популярные

По порядку

Прямой эфир

Вы не против подписаться на важные новости от TJ?

Нет, не против