Перейти к содержанию

Кибернаемники и легальное вредоносное ПО

KL FC Bot
 Поделиться

Рекомендуемые сообщения

KL FC Bot

KL FC Bot

Опубликовано
Опубликовано

Мы живем в интересное время — компьютеры и сети входят в нашу жизнь все глубже и глубже, причем происходит это с невероятной скоростью. Еще недавно они захватывали заводы и офисы, потом пробрались в кухни и гостиные. А сегодня немалой мощности компьютер с постоянным подключением к Сети лежит в кармане у каждого второго жителя планеты. И это не предел: на подходе эра Интернета вещей — в рамках данной концепции к Всемирной сети собираются подключить не то что каждый утюг, а едва ли не каждый гвоздь.

Legal Malware

Чем большую часть своей жизни мы доверяем компьютерам, тем больший интерес они представляют для любителей покопаться в чужих секретах. Причем речь как про «силу ночи» — всевозможных компьютерных преступников, так и про «силу дня»: правоохранителей, которые используют разнообразные методы сетевого вредительства в своих целях.

Помимо теоретически противоположных целей между ними есть еще одно интересное различие: для государственных служб взломы и кибершпионаж не преступление, а вполне законные методы работы.

Феномен легального вредоносного ПО

Одним из ключевых трендов современного киберкриминального бизнеса становится легализация преступной деятельности, которая подается на рынок информационной безопасности под разными соусами. Так, например, стала широко распространена продажа уязвимостей нулевого дня, то есть таких уязвимостей, средства защиты от которых еще в принципе не разработаны.

Легализация преступной деятельности становится одним из трендов киберкриминального бизнеса

Теперь любой желающий (хорошо, почти любой — в цене подобных уязвимостей нулей с легкостью может быть и больше пяти) может приобрести средство проникновения и использовать по своему усмотрению. В теории — для укрепления собственной защиты. На практике — для чего угодно. Это можно сравнить с продажей боевых снарядов или высокотехнологичной взрывчатки.

Однако этим возможности не исчерпываются. Некоторые компании предлагают приобрести полноценный программный комплекс, позволяющий осуществить проникновение и, получив контроль над компьютером жертвы, следить за всеми ее коммуникациями. По сути, речь идет о шпионском троянце, причем весьма серьезного уровня. И это уже сравнимо с продажей укомплектованного истребителя.

FinFisher Governmental IT Intrusion

Баннер компании FinFisher рекламирует совершенно легальные средства проникновения и удаленного наблюдения

Причем спектр компаний, предоставляющих такого рода услуги, достаточно велик: от крупнейших конгломератов оборонной промышленности, которые связаны обязательствами перед правительствами, до сравнительно небольших и куда более самостоятельных частных компаний.

Последние, конечно, тоже не продают вредоносное ПО направо и налево. Но список их клиентов, очевидно, гораздо шире: он включает не только спецслужбы правительств, но и крупные корпорации. Также услугами «наемников» с удовольствием пользуются спецслужбы стран третьего мира, например Пакистана или Нигерии.

Hacking Team - Galileo

Galileo от компании Hacking Team — еще одна легальная разработка для кибершпионажа

В конце концов, нельзя забывать и о том, что реальный покупатель кибершпионских услуг может отличаться от формального: например, был случай, когда оборудование для слежки и фильтрации было продано в ОАЭ, а в итоге обнаружилось в уже попавшей к тому моменту под жесткое эмбарго Сирии.

Так или иначе, опыт «Лаборатории Касперского» однозначно свидетельствует о том, что легальное вредоносное ПО, разработанное частными компаниями, попадет не только в «добрые руки» спецслужб (насколько они на самом деле добрые, оставим за рамками этой статьи), но и в более прагматичные лапки «третьих лиц».

Одним словом, даже если вы не имеете никакого отношения ни к преступному миру, ни к политике и всю жизнь мирно починяли примус, однажды вышеупомянутый истребитель может внезапно обнаружиться у вас в гостиной.

Насколько это опасно?

Довольно-таки опасно. Такое вредоносное ПО создается для больших парней с большими деньгами. Это серьезный уровень — совсем не хулиганящие школьники и даже не мелкие жулики, пытающиеся стянуть пару сотен долларов с вашей кредитки.

В утечках создателей подобных продуктов на WikiLeaks можно обнаружить заявления о том, что их разработки проходят сквозь традиционные антивирусные технологии, словно нож сквозь масло.

Действительно, в арсенале разработчиков легального вредоносного ПО можно обнаружить массу технологий, внедренных в продукты для того, чтобы сбить с толку вирусного аналитика и не дать ему заглянуть «под капот» зловреда.

Что по этому поводу можно предпринять?

Однако практика показывает, что все-таки возможности этих технологий не безграничны: это не «магия», позволяющая бесследно проникнуть куда угодно, а пусть и очень качественный, но вполне «смертный» образец обычного вредоносного ПО. Это, в свою очередь, означает, что эвристические алгоритмы (технология обнаружения угроз, основанная на поиске подозрительных признаков, характерных для вредоносного ПО), которые несут в себе продукты «Лаборатории Касперского», способны вполне успешно отлавливать творчество «наемников».

Эвристические алгоритмы «Касперского» способны успешно отлавливать творчество «наемников»

Tweet

В частности, исследование продукции компании FinFisher, одного из серьезнейших игроков рынка «легального кибероружия», показало: вопреки утверждениям разработчиков FinFisher, эвристические анализаторы, которые находятся в наших продуктах, начиная с Kaspersky Antivirus 6 (MP4), успешно фиксировали данную угрозу.

Как следствие, необходимо иметь на вооружении средства антивирусной защиты, которые несет на борту комплекс технологий борьбы с высокотехнологичными угрозами. Ведь сомнительные «инструменты борьбы с преступностью» могут оказаться в недобросовестных руках.



Читать далее >>
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Mazahis666
      Подозреваю наличие вирусов и вредоносного ПО.
      Автор Mazahis666
      При использовании Пк периодически гаснет монитор на несколько секунд, стал вылетать браузер-игры-приложения без обьяснения причин. Пк постоянно загружен на 50 и более процентов при использовании браузера, есть подозрения чт подхватил вирус при установке виндоус или каких либо программ. Почитал темы на форуме, ничего не понятно... И да пк достаточно нормальный по характеристикам. Винда 11 прошка лиц.
    • KL FC Bot
      Захват ссылок из приглашений Discord и установка вредоносного ПО | Блог Касперского
      Автор KL FC Bot
      Злоумышленники используют истекшие и удаленные ссылки-приглашения Discord для распространения вредоносных программ: AsyncRAT — для удаленного управления зараженным компьютером и Skuld Stealer — для кражи данных криптокошельков. Для этого преступники эксплуатируют уязвимость в механизме создания ссылок-приглашений Discord, которая позволяет незаметно перенаправлять пользователей с доверенных источников на вредоносные серверы.
      В ходе атаки они используют технику ClickFix, многоступенчатые загрузчики и отложенное выполнение, чтобы обойти защиту и незаметно доставить вредоносное ПО. В этом посте расскажем подробно, как именно злоумышленники эксплуатируют механизм создания ссылок-приглашений, что такое ClickFix, почему преступники используют эту технику и, самое главное, — как не стать жертвой данной схемы.
      Как работают ссылки-приглашения в Discord
      Для начала нам придется разобраться в том, как работают ссылки-приглашения Discord и чем они различаются между собой. Это необходимо для того, чтобы понять, каким образом злоумышленники научились эксплуатировать механизм их создания.
      Ссылки-приглашения в Discord — это специальные URL, с помощью которых пользователи могут присоединяться к серверам. Их создают администраторы, чтобы упростить доступ к сообществу без необходимости добавлять участников вручную. Ссылки-приглашения в Discord имеют два альтернативных формата:
      https://discord.gg/{код_приглашения} https://discord.com/invite/{код_приглашения} Уже сам факт того, что формат не единственный, а в одном из вариантов используется «мемный» домен, — говорит о том, что это не самое удачное решение с точки зрения безопасности, поскольку приучает пользователей к путанице. Но это еще не все. Помимо этого, у ссылок-приглашений есть еще и три типа, которые заметно отличаются друг от друга по своим свойствам:
      временные ссылки-приглашения; постоянные ссылки-приглашения; персональные ссылки-приглашения (vanityURLs).  
      View the full article
    • sloda53
      Вирус или вредоносное ПО повредило все старые файлы MS Office (docx, xlsx)
      Автор sloda53
      Добрый день!
      Столкнулся с каким-то вредоносным ПО, которое повредило все мои старые файлы с расширением .docx и .xlsx.(новый созданный файл работает) При попытке открытия файлов word, excel выдаёт сообщение "приложением excel в документе обнаружено содержимое которое не удалось прочитать ошибка. Доверяете ли вы источнику? " Если я нажимаю "Да" - файлы не открываются, выводится сообщение об ошибке открытия либо то, что файл повреждён и не подходит расширение.
       
      После установил лицензии Kaspersky Premium.
      Сделал полную диагностику и он удалили какие то вирус, но файлы не открываются.
      Прикрепляю отчет из касперского, пару файлов и скрин ошибки.
      Спасибо.
       
      10-06-2025_14-31-35.zip
    • KL FC Bot
      Как вредоносные расширения из Open VSX воровали криптовалюту | Блог Касперского
      Автор KL FC Bot
      Наши исследователи обнаружили в магазине Open VSX несколько поддельных расширений, адресованных разработчикам на Solidity, с вредоносной нагрузкой внутри. Как минимум одна компания стала жертвой злоумышленников, распространяющих эти расширения, и потеряла криптоактивы на сумму около $500 000.
      Об угрозах, связанных с распространением зловредов в open-source-репозиториях, известно давно. Несмотря на это, пользователи редакторов кода с поддержкой искусственного интеллекта — таких как Cursor и Windsurf — вынуждены использовать магазин open-source-решений Open VSX, поскольку другого источника необходимых расширений для этих платформ у них нет.
      Однако в Open VSX расширения не проходят такие же тщательные проверки, как в Visual Studio Code Marketplace, и это дает злоумышленникам возможность распространять под видом легитимных решений зловредное ПО. В этом посте мы расскажем подробности об исследованных экспертами «Лаборатории Касперского» вредоносных расширениях из Open VSX и о том, как предотвратить подобные инциденты в вашей организации.
      Чем рискуют пользователи расширений из Open VSX
      В июне 2025 года блокчейн-разработчик, у которого злоумышленники похитили криптоактивы на сумму около $500 000, обратился к нашим экспертам с просьбой расследовать инцидент. В процессе изучения образа диска с зараженной системой исследователи обратили внимание на компонент расширения Solidity Language для среды разработки Cursor AI, который запускал PowerShell-скрипт — явный признак наличия вредоносной активности.

      Это расширение было установлено из магазина Open VSX, где оно имело десятки тысяч загрузок (предположительно такое количество объясняется накруткой). Согласно описанию, оно якобы помогало оптимизировать работу с кодом на языке для смарт-контрактов Solidity. Однако анализ расширения показал, что никакой полезной функциональности у него не было вообще. Установившие его разработчики посчитали невыполнение заявленных функций багом, не стали разбираться с ним сразу и продолжили работать.
       
      View the full article
    • Мала
      Не могу понять, что за вредоносное ПО
      Автор Мала
      После установки пиратского ПО (google sketch up) нанятым «помощником» сначала скорость интернета просела до двух мегабит в секунду на пару дней. Сканирование компа kaspersky internet security угроз не обнаружило. 
      Через еще пару дней нечто заблокировало браузер и возможность скачивания. Интернет был, но страницы гугл хлома не загружались. Клик по диагностике сети выдавал «удаленное устройство или ресурс не принимает подключение». При этом десктопный востап обновлялся. Но посланную через него антивир утилиту скачать не удавалось.
      Следом поступил звонок с номера «из Молдовы», который я брать не стала. и поняла, что видимо щас «сотрудники фсб» будут взламывать мои госуслуги. Похоже, что это было нечто, что скачало с компа все данные и логины пароли. 
      Нанятый лечитель вирусов с youdo удаленно помог снять странные установленные каким-то патчем ограничения с браузера и почистил шесть каких-то вирусов разными утилитами.
      В финале я в безопасном режиме еще раз проверила утилитой cureit др веба. И он нашел один какой-то файл и удалил. 
       
      4 дня всё поработало бесперебойно. Сегодня снова появился симптом про браузер. То есть нечто управляющее браузером все еще сидит на компе.  Пирасткое ПО правда так и осталось не снесённым. Но есть ощущение что снос ПО не поможет и надо что-то хитрее предпринять. 
       
      Да, впн стоял и исправно без странных симптомов работал более полутора лет без обновлений. Приложения hiddify, сервер от papervpn. 

      Я очень неопытный женщина-юзер. Помогите, пожалуйста, понять что можно сделать. 
       
×
×
  • Создать...