Сегодня 04 июля 2026
18+
MWC 2018 2018 Computex IFA 2018
реклама
Теги → бэкдор

Северокорейские хакеры наводнили интернет клонами открытого ПО, в которые внедрили бэкдоры

Хакерская группировка Lazarus, которую связывают с властями КНДР, провела крупномасштабную операцию Phantom Circuit — они скомпрометировали сотни систем по всему миру с целью кражи секретной информации. Для этого злоумышленники клонировали легитимное ПО с открытым кодом и внедряли в него бэкдоры в надежде, что разработчики и другие потенциальные жертвы, преимущественно работающие в криптовалютной отрасли, случайно воспользуются ими и сделают свои машины уязвимыми. Вредоносные проекты распространялись через крупные платформы, включая GitLab.

 Источник изображения: AltumCode / unsplash.com

Источник изображения: AltumCode / unsplash.com

Схему обнаружили эксперты в области кибербезопасности из компании SecurityScorecard. В минувшем ноябре жертвами хакеров стали 181 разработчик преимущественно из европейского технологического сектора. В декабре их число выросло до 1225 человек, включая 284 из Индии и 21 из Бразилии. В январе к их числу добавились ещё 233 жертвы, в том числе 110 из технологического сектора Индии. Киберпреступникам удалось похитить учётные данные своих жертв, токены аутентификации, пароли и другую конфиденциальную информацию.

В число клонированных и изменённых хакерами репозиториев вошли такие проекты как Codementor, CoinProperty, Web3 E-Store, менеджер паролей на основе Python, а также другие приложения, связанные с криптовалютой и web3, рассказали в SecurityScorecard. Когда жертва неосознанно загружала и устанавливала такое приложение-форк, на его машину также устанавливался бэкдор, позволяющий злоумышленникам подключаться к ней, похищать конфиденциальные данные и отправлять их на свои ресурсы. Участвующие в схеме Phantom Circuit управляющие (C2) серверы Lazarus Group, как выяснилось, начали работу ещё в сентябре — они использовались для связи с заражёнными системами, доставки вредносного ПО и копирования украденных данных. Экспертам так и не удалось выяснить, «как обрабатывались извлечённые данные, и какая инфраструктура использовалась для управления этим серверами».

Эксперты обнаружили скрытую административную систему, размещённую на каждом сервере — она обеспечивала централизованное управление атакой; система была написана на основе React и Node.js. Чтобы скрыть происхождение кампании, хакеры Lazarus Group применяли многослойную обфускацию. Чтобы скрыть географическое происхождение, использовался VPN, а на прокси-уровне вредоносная активность смешивалась с безобидным сетевым трафиком. Серверы размещались в инфраструктуре Stark Industries — специалисты SecurityScorecard установили, что к ним подключались не менее чем с шести северокорейских адресов, один из которых ранее был связан с атаками Lazarus на платформу Codementor. Похищенные данные выгружались в облачное хранилище Dropbox.

Digma опровергла утверждения экспертов о встроенном бэкдоре в её кнопочных телефонах

Бренд Digma выступил с опровержением публикации «Коммерсанта», в которой со ссылкой на данные экспертов утверждается, что в выпускаемых им устройствах имеется встроенная уязвимость, позволяющая управлять телефоном через интернет: удалённо рассылать СМС и принимать их, передавая данные на сторонние серверы, регистрировать на номер телефона аккаунты в мессенджерах и т. д.

 Источник изображения: Digma

Источник изображения: Digma

По словам источника газеты, кнопочные телефоны российского производства подверглись кибератаке через заранее установленную уязвимость, позволяющую удалённо управлять устройством через интернет-подключение.

В свою очередь, Digma утверждает, что в его кнопочных телефонах отсутствует функциональность, которую «можно классифицировать как backdoor или встроенную уязвимость». По словам Digma, хотя в прошивке телефонов имеется встроенная функция стороннего российского сервиса, её назначение вовсе не в обеспечении удалённого управления устройством третьей стороной. Цель этой функции — обмен СМС-сообщениями фиксированного формата для персонализации доступных развлекательных и информационных сервисов в конкретном регионе — гороскопы, погода, анекдоты и т.д. «Обмен сообщениями такого типа является полностью бесплатным для пользователей. Подключение платных услуг ведётся только с явного согласия пользователя», — подчеркнул бренд, добавив, что любой иной функциональности, включая якобы скрытую регистрацию пользователей в мессенджерах, в устройствах Digma нет.

Бренд отметил, что подобные развлекательные возможности являются наиболее востребованным среди пользователей кнопочных телефонов, и основной целью добавления этой функции в прошивку было улучшение клиентского опыта. «Изъятие телефонов из продажи мы не планируем, так как не видим оснований для этого. Мы запланируем внеочередное независимое тестирование наших устройств на предмет поиска уязвимостей в прошивке кнопочных телефонов у крупных независимых компаний и опубликуем результаты», — сообщила компания.

В кнопочных телефонах российской Digma нашли вредоносное ПО

Эксперты по кибербезопасности обнаружили в кнопочных телефонах Digma бэкдор — встроенную уязвимость для установки связи и обмена данными со сторонними серверами, удалённой рассылки SMS, регистрации аккаунтов в мессенджерах на телефонные номера и других действий, узнал «Коммерсантъ». Продажи кнопочных телефонов Digma растут — сейчас они занимают 5,9 % рынка.

 Источник изображения: digma.ru

Источник изображения: digma.ru

Кнопочные телефоны российского бренда Digma (входит в «Мерлион» наряду с «Ситилинком») стали объектами кибератаки, в рамках которой осуществлялись негласные отправка, приём и фильтрация SMS из-за бэкдора — намеренно установленной при производстве уязвимости. Через месяц после покупки телефона Digma и подключения к нему новой SIM-карты неизвестные лица зарегистрировали на этот номер учётную запись в мессенджере WhatsApp без ведома владельца номера, сообщил он «Коммерсанту».

Последующий анализ прошивки показал, что телефон действительно заражён вредоносным ПО. Он периодически связывается через интернет с неким сервером, передавая ему свой IMEI-идентификатор, идентификатор SIM-карты и оператора связи. В ответ удалённый сервер может отправлять устройству команды: например, отправить SMS с заданным текстом на определённый номер или вывести на экран полученное сообщение. Отправленные и принятые сообщения в общем списке не показываются. В Digma владельцу устройства подтвердили наличие «аномалий» в работе устройства, но отказались признать факт уязвимости. Комментариев «Коммерсанту» в Digma и «Мерлионе» по данной ситуации не предоставили.

Продажи кнопочных телефонов Digma растут: в период с января по май 2024 года доля бренда достигла 5,9 %; на торговых площадках этот показатель составил 13,6 %, а годом ранее был 7,6 %. Устройства марки производятся преимущественно в Китае. Подобные уязвимости могут возникать по вине контрактного производителя, рассказали в компании Fplus, которая выпускает кнопочные телефоны, смартфоны и планшеты. Ранее подобные инциденты отмечались у продукции брендов Irbis и Dexp. В некоторых случаях проблема может быть на стороне поставщика ПО, добавили опрошенные «Коммерсантом» эксперты. Бэкдоры также могут использоваться для кражи данных, рассылки спама, реализации мошеннических схем по номерам в списке контактов, а доступ к SMS открывает потенциальным злоумышленникам доступ к приложениям и сервисам пользователя — вплоть до банковских. Не исключаются и массовые утечки данных.


window-new
Soft
Hard
Тренды 🔥
Новая статья: EMPULSE — восторг или эпитафия? Предварительный обзор 2 ч.
Корейское отделение Netflix проговорилось о дате выхода Cyberpunk: Edgerunners 2 3 ч.
Разработчики Ghostrunner с удовольствием бы занялись Ghostrunner 3, но есть нюанс 5 ч.
Anthropic хочет стать фармкомпанией — лекарства будет разрабатывать ИИ 6 ч.
Слухи: амбициозный российский боевик «Война миров: Сибирь» сравнялся по бюджету с Kingdom Come: Deliverance 2 7 ч.
«Чувствовал, будто расхожусь по швам»: ведущие разработчики Suicide Squad: Kill the Justice League едва не ушли из индустрии из-за провала игры 8 ч.
Alibaba запретила сотрудникам пользоваться помощником программиста Claude Code от Anthropic 9 ч.
Продажи Cyberpunk 2077 превысили 40 млн копий за пять с половиной лет после релиза 9 ч.
Epic Games Store выдал планы Square Enix на сюжетные дополнения к Final Fantasy VII Revelation 9 ч.
Зафиксирована первая в истории полностью автономная атака ИИ- вымогателя 10 ч.