Fancy Bear

  • Някои от сървърите, обслужващи LoJax, все още са онлайн

    Поне два от сървърите, с които комуникира руткитът LoJax, все още са онлайн. Това показват резултатите от проучване на Netscout. Те подсказват, че малуерът все още е активен и би могъл да се използва при бъдещи атаки.

    LoJax получи значително отразяване в медиите през септември 2018 г. Тогава компанията за информационна сигурност ESET публикува доказателства, че руткитът е използван в организирана атака срещу държавни институции в Източна Европа.

    От Netscout отбелязват, че месеци по-късно два от командните сървъри, с които LoJax комуникира, все още са онлайн. Те са били използвани и по време на атаката, за която съобщи ESET през септември.

    „Въпреки цялото медийно внимание към LoJax, неговите собственици Fancy Bear все още не са свалили командните му сървъри. Тези сървъри имат дълъг живот и организациите трябва да предприемат защитни мерки срещу тях“, коментират от Netscout.

    Fancy Bear, позната още като Sednit или APT28, се счита за свързана с руското правителство хакерска група и автор на руткита.

    LoJax е първият известен случай на руткит, използван в организирана хакерска атака. Той атакува UEFI (наследник на BIOS) на съвременните компютри. Досега се предполагаше, че със зловредни кодове, които експлоатират UEFI, разполагат единствено някои държавни агенции за сигурност.

    LoJax се отличава с това, че оцелява след превантивни мерки като преинсталация на операционната система или смяна на твърдия диск. Името на руткита идва от LoJack – софтуер против кражба на лаптопи, заради който производителите на компютри инсталират в продуктите си определени файлове, които комуникират с UEFI. Именно от тези преконфигурирани файлове се възползва LoJax, за да функционира.

  • Microsoft свали руски сайтове, използвани за кибер-атаки срещу САЩ

    Експерти от Microsoft докладваха, че са открили редица фалшиви уебсайтове, които целят да копират правителствен организации, както и две политически такива. От компанията докладват, че страниците са дело на групата APT28 или Fancy Bear, за която се предполага, че има силни връзки с руското правителство.

    Откритите домейни са:

    my.iri.org
    hudson-my-sharepoint.com
    senate.group
    adfs-senate.services
    adfs-senate.email
    office365-onedrive.com

    Microsoft пояснява, че до момента не се знае за успешни опити за атака чрез тези страници. Няма и информация за организирани кампании, в които те се използват.

    Сайтовете бяха премахнати от отделът за борба с престъпленията към Microsoft, чрез съдебно решение. Правомощието за това беше отредено на технологичния гигант, тъй като сайтовете използват интелектуална собственост като „sharepoint“, „office365“ и „onedrive“. В последните две години, компанията е използвала съдебна помощ за премахването на общо 84 фалшиви страници, които също са били дело на APT28.

    Преди едва месец, вице-президентът на Microsoft – Том Бърт – разказа и за свалянето на домейн, който е бил използван за фишинг атаки към поне 3-ма кандидати за конгреса на САЩ.

Back to top button