Перейти к содержанию

прошу пояснить об украденом сертификате Асера (группировкой WildNeutron)


Рекомендуемые сообщения

Опубликовано

Уважаемый Евгений Валентинович,

когда-то г-н Костин Раю в выступлении рассказал о расследовании злодеяний группировки WildNeutron. И он долго не мог связаться с ответственный лицом из Асера, поскольку те сотрудники утаивались. Наконец ему удалось связаться с неким заведующим, сказал тому об украденом сертификате применяемом в вирусе, тот ответил: "Да, мы знаем, знаем... Всё в порядке..."  Костин в выступлении сказал, что сам не понимает, как это может быть в порядке.

???

Прошу прокомментировать этот случай, хочется побольше подробностей, и чтобы г-н Костин подробнее рассказал.

 

           Украдены сертификаты:

Stuxnet --- Realtek, JMicron.

Duqu -- C-Media
Flame -- Microsoft
Wild Neutron -- Acer
Regin -- Microsoft, Broadcom
Duqu-2 -- Foxconn

 

Ибо хотелось бы узнать правду.

Опубликовано

Подробности надо спрашивать у Костина и у других экспертов, которые занимались этим инцидентом. Я всех деталей не знаю..

  • Спасибо (+1) 1
Опубликовано (изменено)

Спасибо, решено.

Изменено пользователем Jevstafij
Опубликовано (изменено)

Тайваньские компании:
Realtek, JMicron (г. Синьчжу, соседние здания)

Acer, Foxconn (г. Синьбэй)
C-Media (г. Тайбэй) -- дочерняя компания Реалтека.

Сертификаты благополучно поступают правительству Израиля по причине договора с Тайванем о научном сотрудничестве (Taiwan-Israel joint scientific research cooperation), об этом написано на немецком форуме специалистов промышленных SCADA-систем. Этот договор продлевается с 2008 года, что полностью покрывает вброс "стакснета".

А вот Microsoft, Broadcom в США.
Цифровая подпись для Флейма была подобрана доселе неизвестным для академической науки способом "коллизии MD5-хеша", который разработан математиками из АНБ. Это взбудоражило научное сообщество, потому что для разработки такого научного аппарата были необходимы математики и криптографы мирового уровня.

А вот для "регина": полагаю что вирусы были подписаны ими сознательно, - в рамках "сотрудничества с правоохранительными органами" ("cooperation with law enforcement agencies"). Я не видел статьи-расследования Майкрософта об этом случае воровства сертификата, в отличии от подробной статьи о ворованом сертификате в Флейме; поправьте меня если это не так.

И если не так, а лишь призраки "теории заговора", то сертификаты попросту были украдены: проникнули в их корпоративную сеть и подписали на особом сервере сертификации. И вообще, регин непревзойдённый по уровню изощрённости вирус.

Изменено пользователем Jevstafij
Опубликовано

Или более вероятно: спецслужбы США завладели приватными ключами для подписывания драйверов тех компаний, и будут подписывать ими вирусы всякий раз когда нужно.

Опубликовано (изменено)

Столько просмотров а участники не высказываются, считаете ли вы это правдоподобным. Бывает такое восприятие, мол, я не гос.учреждение, не завод, не учёный, это игры иного уровня, меня враги взламывать не будут. Но полагаю что оная тема может вызывать любопытство, - если пользуетесь компами, увлекаетесь виндами, пытаетесь предохраняться от зловредов и следите за происходящим в мире

Изменено пользователем Jevstafij
Опубликовано

 

 


Столько просмотров а участники не высказываются, считаете ли вы это правдоподобным.
здесь кроме вас никто не в теме вашего интереса.

 

 

 


спецслужбы США завладели приватными ключами для подписывания драйверов тех компаний,
скорее создали сами. АНБ всегда действует на опережение, активно участвуя (и финансируя)  в разработке всех новых систем безопасности. 
  • Согласен 1
Опубликовано

да, мне одному хочется знать - какая цифровая подпись будет у Duqu-3.

Закройте пожайлуста тему

 

Сообщение от модератора Mark D. Pearlstone
Тема закрыта.
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • kmscom
      Автор kmscom
      В данной теме представлен обзор с подробным описанием подарочного сувенира, который получен из магазина клуба по бонусной программе, за форумное бета-тестирование, из Магазина «kaspersky<merch»  и т. п.
      Пожалуйста, не обсуждайте в этой теме другие сувениры.
      .
      Описание магазина kaspersky<merch
      поясная сумка, которая сделает ваши тренировки комфортными. Необходимые вещи всегда будут под рукой!
      Размер: 37х13х8 см.
      Материал: 100% полиэстер.
      Материал с защитой от влаги.
      Одно большее внутреннее отделение, потайной небольшой карман.
      Регулируемая длина ремня
       
      Фото магазина
       
      Мои фотографии
       
      Имеет два наружных кармана и один потайной. Основной защищен от попадания воды. Нижний не глубокий, примерно 5 сантиметров. На замках молнии нанесена торговая марка BAG&FLY.
      В основном кармане лежал какой то матерчатый мешочек, размером 21х42 см. 
    • infobez_bez
      Автор infobez_bez
      Здравствуйте!
      В веб консоли ksc вылезло уведомление о том, что истекает доверенный сертификат 
      Нужно ли его перевыпускать/заменять или он автоматически заменится на другой после окончания срока действия?
      И еще, после смены сертификата будут ли видеть ПК сервер администрирования или их заново придется подключать?
    • ska79
      Автор ska79
      На госуслуги захожу через firefox, но при попытке посмотреть результаты медицинских иследований госуслуги выводит что надо дескать установить сертификаты минцифры, что уже давно сделано (кроме корневого сертификата в ОС) при попытке посмотреть "без сертификата минцифры" Плюс сообщает следующее. При этом сайт росминздрава в том де firefox открывается без проблем

    • KL FC Bot
      Автор KL FC Bot
      Ransomware-группировка Interlock начала использовать технику ClickFix для проникновения в инфраструктуру своих жертв. В одном из недавних постов мы уже рассказывали об общей идее ClickFix, а сегодня поговорим о конкретном примере использования этой тактики одной из группировок. Исследователи кибербезопасности обнаружили, что Interlock использует поддельную CAPTCHA якобы от Cloudflare на странице, маскирующейся под сайт Advanced IP Scanner — популярного бесплатного сетевого сканера.
      Исходя из этого можно предположить, что атаки нацелены на ИТ-специалистов, работающих в потенциально интересующих группировку организациях. Судя по всему, Interlock находится на этапе тестирования новых инструментов, в частности техники ClickFix.
      Как Interlock использует ClickFix для распространения вредоносного ПО
      Злоумышленники из Interlock заманивают жертву на страницу, адрес которой имитирует адрес сайта Advanced IP Scanner. Описавшие атаку исследователи нашли одну и ту же страницу, размещенную по нескольким адресам в Сети.
      При переходе по ссылке пользователь видит извещение о необходимости пройти CAPTCHA, якобы от Cloudflare. В сопутствующем тексте мошенники рассказывают жертве о том, что Cloudflare «помогает компаниям восстановить контроль над своими технологиями». За этим достаточно типичным бизнесовым текстом, скопированным со страницы «Что такое Cloudflare?» настоящего веб-сайта компании, следует указание: нажать сочетание [Win] + [R], затем [Ctrl] + [V] и, наконец, [Enter]. После этой инструкции находятся кнопки Fix it (Исправить проблему) и Retry (Повторить попытку).
      Внизу следует объяснение: якобы ресурс, на который пытается войти жертва, должен проверить безопасность соединения.
      На практике, когда жертва нажимает кнопку Fix it, в буфер обмена автоматически копируется вредоносная команда
      PowerShell. После этого пользователь сам открывает консоль с помощью сочетания клавиш [Win] + [R] и сам же вставляет эту команду через [Ctrl] + [V]. После нажатия [Enter] вредоносная команда выполняется.
      В результате выполнения команды на компьютер жертвы загружается 36-мегабайтный файл поддельного установщика PyInstaller,. Для отвлечения внимания жертвы при этом в браузере открывается окно с настоящим сайтом Advanced IP Scanner.
       
      View the full article
    • Sandynist
      Автор Sandynist
      Добрый день! 
       
      Каждый раз при открытии Алика (https://aliexpress.ru/) такая вот картинка.
       
      Событие: Обнаружено SSL-соединение c недействительным сертификатом Тип пользователя: Не определено Имя приложения: opera.exe Путь к приложению: C:\Users\Home7\AppData\Local\Programs\Opera Компонент: Интернет-защита Описание результата: Запрещено Имя объекта: rap.skcrtxr.com Причина: Этот сертификат или один из сертификатов в цепочке устарел.  И непонятно — это что? И что с этим всем делать?

×
×
  • Создать...