Пару дней назад Reuters написали весьма интересную статью про проект Raven (и специализированное программное обеспечение Karma), который был создан бывшими сотрудниками агентства национальной безопасности (АНБ) США.
Raven предлагали своим заказчикам, используя уязвимость в Apple iMessage, получать доступ к данным (фото, электронная почта, СМС и геолокация) на Айфонах жертв.
Следить за высокопоставленными жертвами, оставаясь в тени. Это принцип работы двух вредоносных компонентов InvisiMole. Они превращают зараженный компьютер в видеокамеру атакующих, которая позволяет видеть и слышать все, что происходит в офисе или в любом другом месте, где находится устройство. Операторы InvisiMole легко подключаются к системе, следят за действиями жертвы и крадут ее секреты.
По данным телеметрии ESET, злоумышленники, стоящие за данной спайварью, активны как минимум с 2013 года. Тем не менее, этот инструмент кибершпионажа не только не был изучен, но и не детектировался до момента обнаружения продуктами ESET на зараженных компьютерах в России и Украине.
Кампания высокотаргетирована, что объясняет низкий уровень зараженности – всего несколько десятков компьютеров.
Читать полностью »
ESET выявила новые операции с применением шпионской программы FinFisher, также известной как FinSpy, некогда продаваемой правительственным структурам по всему миру. Помимо технических доработок FinFisher, зафиксирован новый, ранее неизвестный вектор заражения, указывающий на возможное участие в схеме крупного интернет-провайдера (ISP).
У FinFisher широкий набор возможностей для слежки через веб-камеру и микрофон, а также функции кейлоггинга и кражи файлов. Что отличает FinFisher от других инструментов слежки, так это противоречивая информация о его внедрении. FinFisher позиционируют как инструмент правоохранительных органов, считается, что он используется диктатурами. Мы обнаружили последние версии FinFisher в семи странах. Назвать их, к сожалению, не сможем, чтобы никого не подвергать опасности.
После написания статьи про анализ малвари с avito, несколько моих twitter-читателей откликнулись и прислали SMS, которые получили после публикации объявлений на avito.
Часто вирусы для android приходят к нам при помощи рассылок. Раньше это были СМС, а теперь еще и современные мессенджеры. Мне было интересно посмотреть, что же сейчас на рынке вредоноса, поэтому зарегистрировалась и подала пару объявлений на avito.
Читать полностью »
Некоторое время назад моя сестра попросила посмотреть ноутбук который «глючит». Выражалось это в показе рекламных баннеров со звуком на рабочем столе, открытие дополнительных вкладок в браузере. И, самое главное, загрузка iframe с рекламой, который полностью перекрывал страницу и не давал нормально пользоваться интернетом.
От многой мудрости много скорби, и умножающий знание умножает печаль: чем глубже вникаешь в особенности мира IT, особенно той его части, которая про защиту информации, тем крепче паранойя. И это совсем не означает, что за тобой не следят. В очередном приступе тревоги за сохранность нажимаемых кнопок я удалил Punto Switcher. Однако без переключения раскладки после уже набранного слова, к которому я так привык, стало очень тоскливо. Никаких вменяемых альтернатив я так и не нашел, поэтому пришлось написать небольшую обертку над парой функций win api.
Сегодня WikiLeaks опубликовал обещанную порцию секретных документов, которые раскрывают список государств, силовые и разведывательные структуры которых пользовались услугами вредоносного шпионского ПО FinFisher. В этот список вошли Словакия, Монголия, Катар, ЮАР, Бахрейн, Пакистан, Эстония, Вьетнам, Австралия, Бельгия, Нигерия, Голландия, Сингапур, Бангладеш, Венгрия, Италия, Босния и Герцеговина. WikiLeaks также посчитали суммарную стоимость всех лицензий, которые были приобретены вышеперечисленными государствами. Получилась внушительная сумма в более чем 47 миллионов евро. Столько было потрачено спецслужбами государств на реализацию операций кибершпионажа.
Сам FinFisher распространяется через несколько европейских фирм, при этом клиентами являются исключительно органы гос. безопасности или фирмы, тесно связанные с таковыми. Вредоносная программа относится к семейству spyware и используется для операций шпионажа за пользователями, при этом функциональность может быть расширена по желанию заказчика. Вредоносный код может быть использован для различных целей, например, перехват разговоров Skype.
Часто приходиться слышать о том, что сильные и богатые корпорации вроде Google, Facebook или LG следят за каждым пуком несчастных пользователей. И исследовав некоторое из их software, я должен признать что таки да — они следят. Шпионят, гады.
Вот намедни я исследовал самый свежий (на момент написания этой статьи) официальный iOS-клиент Twitter версии 5.13.1. Мне, кроме всего прочего, было интересно посмотреть на траффик между клиентом и сервером. Поскольку клиент Twitter использует certificate pinning, его траффик довольно трудно перехватить с помощью Fiddler2 и подобных программ. Поэтому я написал define-команду для GDB, который цепляется на точку останова в [NSURLConnection start] и дампит в консоль интересные мне поля NSURLConnection непосредственно перед вызовом этого самого start. Такой нехитрый в общем-то фокус позволяет видеть что именно программа посылает на сервер ещё до того как это «что именно» будет зашифровано для дальнейше передачи по HTTPs.
И знаете что я увидел? Оказывается клиент Twitter, кроме своих обычных запросов (регистрация пользователя, авторизация, твит и т.п.) часто… нет, не так… очень часто посылает на сервер POST запросы на некий загадочный URL https://api.twitter.com/1.1/jot/client_event. Эти загадочные запросы отсылались на сервер почти по любому поводу. Я запустил клиент — запрос пошел! Я нажал кнопку «Sign in» (ещё не залогинился, просто кнопку жмакнул) — запрос пошел! Вылез экран логина, поле «Username» получило фокус — запрос пошел! Я свернул клиент — запрос пошел!.. Я конечно удивился и полез разбираться. Читать полностью »
Президент Free Software Foundation Ричард Столлман назвал Ubuntu «шпионским» из-за того, что поиск в “Dash” посылает данные о поисковых запросах на сервера Canonical. Он призвал разработчиков не использовать эту операционную систему.
В результатах поиска показываются не только данные о локальных файлах и приложениях, но и данные поиска Amazon. Если человек покупает что-либо, то создатели Ubuntu получают определенный процент с продажи. Несмотря на то, что дальше Canonical данные не уходят, этого оказалось вполне достаточным для Столлмана.
