НОВОЕ РУКОВОДСТВО ПО СОВРЕМЕННЫМ УГРОЗАМ В СФЕРЕ БЕЗОПАСНОСТИ


Уязвимость в Telegram

Специалисты по информационной безопасности из Лаборатории Касперского нашли в мессенджере Telegram уязвимость нулевого дня, через которую хакеры распространяли вредоносное ПО. Речь идет о клиенте Telegram для Windows. Злоумышленники начали эксплуатировать уязвимость в марте 2017 г., Лаборатория узнала об этом в октябре.

Компания уже предупредила мессенджер о проблеме, и Telegram закрыл дыру. Пользователем десктопной версии мессенджера рекомендуется обновиться до версии не ниже 1.2.0.

Все случаи эксплуатации уязвимости, замеченные экспертами, имели место на территории России. Проанализировав некоторые особенности почерка хакеров, сотрудники Лаборатории пришли к выводу, что преступники были русскоговорящими.

Символ RLO

Вредоносное ПО распространялось с помощью атаки, в ходе которой использовался специальный непечатный символ Unicode right-to-left override (RLO), который записывается как U+202E. Этот символ зеркально отражает текст, который за ним следует. RLO используется при обработке арабского языка и иврита, в которых принято писать справа налево.

Если вставить RLO в название файла, оно будет отражаться частично в зеркальном виде, включая расширение, что сделает его неузнаваемым. Таким образом вредоносный файл можно выдать за вполне безопасный. Пользователь не догадается, что это исполняемая программа, и скачает файл под видом, например, изображения.

Неизвестные хакеры использовали мессенджер Telegram для прослушки пользователей и добычи криптовалют

Чтобы замаскировать название файла, RLO следует вставить в строку следующим образом: evil.js переименовать в photo_high_re*U+202E*gnp.js. Поскольку символы, следующие после RLO, будут зеркально отражены, файл приобретет вместо расширение .js расширение .png, и пользователь примет его за картинку.

Контроль над устройствами

Как выяснила Лаборатория Касперского, злоумышленники придумали несколько способов эксплуатировать уязвимость. Одна из схем предполагала доставку через эту брешь бэкдора на устройство жертвы. Невидимый в скрытом режиме, бэкдор открывал хакерам удаленный доступ к этому устройству через командный протокол Telegram API. Через него можно было загрузить на устройство и другие вредоносные программы - например, шпионские.

Сам загрузчик был написан на .Net. Зараженными устройствами управлял Telegram-бот, который отдавал команды загрузчику на русском языке, что и позволило экспертом Лаборатории предположить русскоязычную принадлежность хакеров.

Добыча криптовалют

Была и другая схема, где уязвимость использовалась для распространения ПО для добычи криптовалют. Другими словами, хакеры осуществляли майнинг на мощностях компьютера жертвы, указав свой криптовалютный кошелек для хранения полученных монет.

В список добываемых таким образом криптовалют входили Monero, Zcash, Fantomcoin и другие. Zcash добывалось с помощью nheq.exe - Equihash-майнера для NiceHash, способного эксплуатировать ресурсы процессора и графического ускорителя. Для добычи Fantomcoin и Monero использовался майнер taskmgn.exe, который функционирует по алгоритму CryptoNight.

Помимо этого, хакеры качали с устройств пользователей локальный кэш Telegram, сохраняя его в архивы на своих серверах. Кроме рабочих файлов самого мессенджера в этих архивах были найдены личные файлы пользователей, в том числе документы, аудио, видео и фото. Однако все эти материалы были найдены на серверах преступников в зашифрованном виде.

По словам Алексея Фирша, антивирусного эксперта Лаборатории Касперского, могли быть и другие, более таргетированные схемы эксплуатации уязвимости.

Ответ Павла Дурова

Основатель Telegram Павел Дуров прокомментировал в своем Telegram-канале открытие Лаборатории Касперского. По его словам, антивирусные компании обычно склонны преувеличивать опасность в своих отчетах, чтобы привлечь внимание СМИ.

Дуров отметил со ссылкой на канал Telegram Geeks, что перед загрузкой вредоносного файла, пускай и замаскированного под безопасный, система запрашивает согласие пользователя. Если согласие не будет дано, устройство останется в безопасности. Фактически, считает Telegram Geeks, это была не уязвимость в самом мессенджере, а вредоносная рассылка, организованная с его помощью.

Другие новости на эту тему

Компания Илона Маска SpaceX из-за сильного ветра перенесла запуск ракеты Falcon 9, которая должна была вывести с военно-воздушной базы Ванденберг два спутника для обеспечения работы глобального интернета. Как сообщается на странице организации в Twitter, старт состоится 22 февраля в 17:17 мск...
Ученые Пенсильванского университета в США обнаружили ген, который усиливает реакцию организма на алкоголь, делая его неприятным для человека. Специалисты полагают, что соответствующая ДНК получит широкое распространение среди людей в результате естественного отбора. Об этом пишет издание The Independent...
Ученые Национального института антропологии и истории Мексики нашли 198 древних артефактов и останков живых существ внутри Сак-Актун - самой крупной в мире подводной пещерной системы. Ее подземные полости использовались майя для жертвоприношений, поскольку считались вратами в загробный мир. Об этом пишет издание Science Alert...
Появились первые российские SSD-накопители Российская компания GS Group объявила о начале массового производства первых SSD-накопителей собственной разработки. По ее заверению, полный производственный цикл уже реализован в ее инвестиционном проекте - в инновационном кластере Технополис GS. Этот кластер располагается в городе Гусев Калининградской области...
Запуск Яндекс.ДрайваКомпания Яндекс запустила в Москве каршеринговый сервис Яндекс.Драйв. Сервис дает возможность пользователям арендовать на определенный срок автомобиль, водителем при этом выступает сам пользователь. Сервис доступен для лиц в возрасте от 21 года, имеющих стаж вождения не менее двух лет.Как и во всех каршеринговых сервисах, процесс получения и возврата автомобиля в Яндекс...
США и Европу в плане кадров компенсирует СНГ По экспертной оценке в России завершился количественный отток ИТ кадров. Ситуация с утечкой сохраняется в отношении ИТ-шников, желающих поработать в США и Европе. Однако часть специалистов склонна возвращаться из этих регионов обратно...
Запуск Корус КаталогаСбербанк запустил сервис синхронизации данных о товарах, получивший название Корус Каталог. Авторы проекта называют его уникальным для России. Ознакомиться с сервисом можно по ссылке.Корус Каталог представляет собой облачное решение, для работы с которым необходимо подключение к интернету...
Ученые ЦЕРН разработают систему сдерживания для антиматерии, которую используют для перевозки экзотического вещества из одной лаборатории в другую для изучения распада радиоактивных изотопов. Оборудование разместится в грузовиках, которые начнут транспортировать антипротоны в 2022 году. Об этом пишет издание Gizmodo...
Компания SpaceX вместо России и Украины 21 февраля запустит с площадки на базе ВВС США Ванденберг (Калифорния) испанский радиолокационный спутник дистанционного зондирования Земли PAZ. Об этом пишет NASASpaceFlight.Спутник испанского оператора Hisdesat планировали запустить на украино-российской ракете Днепр в 2014 году...
США в 2016 году заблокировали проект создания Украиной ракеты-носителя для Турции. Об этом со ссылкой на источники в ракетной сфере сообщает Оборонно-промышленный курьер.По данным агентства, в то время между Киевом и Анкарой велись активные переговоры о военно-техническом сотрудничестве...