Теги → бэкдор
Быстрый переход

Корпоративный антивирус Microsoft Defender ATP определил обновление Chrome как бэкдор

По сообщениям сетевых источников, корпоративная версия антивируса Microsoft Defender ATP по неустановленным причинам определяет последнее обновление для браузера Google Chrome как бэкдор. Речь идёт о Chrome 88.0.4324.146, последней версии обозревателя, распространение которой началось на этой неделе.

Согласно имеющимся данным, проблема была обнаружена вскоре после начала массового развёртывания очередной версии Chrome. В процессе получения обновлений системные администраторы разных организаций обратили внимание на то, что Defender ATP идентифицирует часть файлов пакета обновления Chrome, как общие компоненты бэкдора PHP/Funvalget.A.

Источник отмечает, что такое поведение антивируса вызвало настоящий переполох в корпоративной среде, поскольку за последнее время было выявлено множество атак на программное обеспечение, затрагивающих компании по всему миру. В настоящее время системные администраторы ожидают, когда Microsoft подтвердит, что срабатывание антивируса было ложным и обновление Chrome не является реальной угрозой.

Вероятнее всего, срабатывание Defender ATP действительно было ошибочным, но в случае с корпоративными системами лучше получить официальное подтверждение этого до начала распространения обновления на устройства пользователей. Официальные представители Microsoft пока воздерживаются от комментариев по данному вопросу.

Опасный бэкдор-аккаунт найден в межсетевых экранах и контроллерах точек доступа Zyxel

Более 100 000 устройств Zyxel потенциально уязвимы для бэкдора — речь идёт о жёстко закодированной административной учётной записи, используемой для обновления прошивки межсетевого экрана и контроллеров точек доступа. Нильс Тьюзинк (Niels Teusink) из голландской фирмы Eye Control, занимающейся кибербезопасностью, обнаружил эту учётную запись в последней прошивке для некоторых устройств Zyxel.

Интересно, что аккаунт не отображается в пользовательском интерфейсе Zyxel, имеет логин «zyfwp» и статичный текстовый пароль. Учётная запись может использоваться для входа на уязвимые устройства как через SSH, так и через веб-интерфейс. «Поскольку SSL VPN на этих устройствах работает на том же порту, что и веб-интерфейс, многие пользователи открыли для Интернета порт 443 своих устройств. Используя общедоступные данные из Project Sonar, я смог идентифицировать около 3000 уязвимых межсетевых экранов, VPN-шлюзов и контроллеров точек доступа от Zyxel только в Нидерландах. По всему миру более 100 000 устройств открыли свои веб-интерфейсы для доступа в интернет», — сообщил специалист.

$ ssh zyfwp@192.168.1.252
Password: PrOw!aN_fXp
Router> show users current
No: 1
  Name: zyfwp
  Type: admin
(...)
Router
>

Такая уязвимость может использоваться для получения доступа к внутренней сети или создания правил переадресации портов, чтобы сделать внутренние службы общедоступными. Кто-то может, например, изменить настройки межсетевого экрана, чтобы разрешить или заблокировать определённый трафик. В сочетании с другими уязвимостями это может иметь разрушительные последствия для малого и среднего бизнеса.

Таким образом, желательно поскорее обновить затронутые сетевые устройства до последней версии прошивки — благо, Zyxel уже выпустила версию 4.60 Patch 1 для межсетевых экранов серий ATP, USG, USG FLEX и VPN. В своём сообщении компания поблагодарила специалистов Eye за информацию и заявила, что использовала жёстко закодированные учётные записи для доставки автоматических обновлений прошивки через FTP, причём оборудование с предыдущей версией прошивки ранее V4.60 Patch0 не затронуто проблемой. К сожалению, контроллеры точек доступа NXC2500 и NXC5500 остаются уязвимы, а заплатка V6.10 Patch1 для них будет выпущена только в апреле 2021 года.

Хакеры атаковали разработчиков ММО ради внутриигровой валюты

Одна из самых плодовитых хакерских групп в мире недавно атаковала нескольких разработчиков многопользовательских онлайн-игр, что позволило злоумышленникам распространять вредоносные приложения среди игроков и красть у них внутриигровую валюту.

Исследователи из словацкой компании ESET связывают данные атаки с группой хакеров Winnti, которая проявляет активность с 2009 года и, как полагают, провела сотни различных атак. Среди их жертв были: китайские журналисты, уйгурские и тибетские активисты, правительство Таиланда и видные технологические организации. Winnti была связана с хакерской атакой 2010 года, когда были украдены конфиденциальные данные из Google и 34 других компаний. Совсем недавно эта группа скомпрометировала платформу дистрибуции ПО CCleaner, через которую распространились вредоносные обновления для миллионов пользователей, а также отметилась заражением бэкдором порядка 500 тыс. ноутбуков ASUS.

Новая атака Winnti на разработчиков ММО-игр связана с неизвестным ранее ESET бэкдором PipeMon. Чтобы оставаться незаметным для систем безопасности, установщик PipeMon использует легитимный сертификат подписи Windows, который был украден из Nfinity Games после взлома этой компании в 2018 году.

В сообщении, опубликованном рано утром в четверг, ESET мало что рассказала о «заражённых» компаниях, за исключением того, что они включали в себя несколько южнокорейских и тайваньских разработчиков ММО-игр, которые представлены на популярных игровых платформах, а их проекты насчитывают тысячи активных игроков. В одних случаях вредоносная программа попадала на компьютер жертвы через платформы обновлений игр, в других были скомпрометированы игровые серверы. В последнем случае злоумышленники, например, могли манипулировать внутриигровыми валютами для получения финансовой выгоды.

ФБР взломало iPhone террориста без помощи Apple

После нескольких месяцев безуспешных попыток ФБР удалось наконец без помощи Apple разблокировать по крайней мере один из двух защищённых паролем iPhone, принадлежащих Мохаммеду Саиду Альшамрани (Mohammed Saeed Alshamrani), виновнику стрельбы на военно-морской базе Пенсакола во Флориде в декабре прошлого года, сообщает CNN. По данным The New York Times, у Альшамрани были iPhone 7 и iPhone 5.

Apple предоставила ФБР данные, принадлежащие Альшамрани в сервисе iCloud, но отказалась помочь следователям в получении доступа к памяти iPhone. В заявлении, сделанном ранее в этом году, компания сообщила, что, хотя она была «потрясена» новостью о нападении террористов на военно-морскую базу, создавать бэкдор в iOS не будет, так как это представляет угрозу национальной безопасности. На прошедшей в понедельник пресс-конференции генеральный прокурор США Уильям Барр (William Barr) и директор ФБР Кристофер Рэй (Christopher Wray) выразили сильное разочарование в связи с позицией Apple.

С аналогичной ситуацией Apple столкнулась в 2016 году, когда федеральный судья США постановил, чтобы компания помогла ФБР разблокировать iPhone 5c, принадлежащий стрелку из Сан-Бернардино Сайеду Фаруку (Syed Farook). Apple тогда отказалась выполнять предписание, отметив, что это создаст «опасный прецедент». В том случае ФБР тоже нашло способ получить доступ к данным, хранящимся в памяти iPhone.

«Доктор Веб» обнаружил опасный бэкдор, распространяющийся под видом обновления для Chrome

Разработчик антивирусных решений «Доктор Веб» информирует об обнаружении опасного бэкдора, распространяемого злоумышленниками под видом обновления для популярного браузера Google Chrome. Сообщается, что жертвами киберпреступников уже стали более 2 тысяч человек, и число таковых продолжает расти.

По данным вирусной лаборатории «Доктор Веб», с целью максимального охвата аудитории злоумышленниками использованы ресурсы на базе CMS WordPress — от новостных блогов до корпоративных порталов, к которым хакерам удалось получить административный доступ. В коды страниц скомпрометированных площадок встроен JavaScript-сценарий, который перенаправляет пользователей на фишинговый сайт, маскирующийся под официальный ресурс компании Google (см. скриншот выше).

С помощью бэкдора злоумышленники получают возможность доставлять на инфицированные устройства «полезную» нагрузку в виде вредоносных приложений. Среди них: кейлоггер X-Key Keylogger, стилер Predator The Thief и троян для удалённого управления по протоколу RDP.

Во избежание неприятных инцидентов специалисты компании «Доктор Веб» рекомендуют при работе в Интернете быть предельно внимательными и советуют не оставлять без внимания предусмотренный во многих современных браузерах фильтр фишинговых ресурсов.

Huawei отвергла обвинения США в установке бэкдоров в поставляемом оборудовании

Huawei выступила с опровержением утверждений властей США о наличии в её оборудовании секретного доступа к мобильным сетям, назвав это «невозможным».

Getty Images / Bloomberg

Getty Images / Bloomberg

Заявление Huawei появилось в ответ на вчерашнее сообщение The Wall Street Journal со ссылкой на официальных лиц США, утверждающих, что у них «есть доказательства того, что Huawei имеет возможность тайного доступа к носящей закрытый характер и личной информации в системах, которые она обслуживает и продаёт по всему миру».

«У Huawei никогда не было и никогда не будет тайного доступа к телекоммуникационным сетям, и у нас нет возможности сделать это. The Wall Street Journal чётко осознаёт, что правительство США не может предоставить никаких доказательств в поддержку своих утверждений, и всё же издание решило повторить ложь, распространяемую этими официальными лицами США. Это отражает предвзятость The Wall Street Journal к Huawei и подрывает его авторитет», — указано в заявлении компании.

Huawei также добавила, что никогда не производила и не производит оборудование для перехвата данных в мобильных сетях.

Как известно, правительство США неоднократно требовало от Apple и других провайдеров технологий устанавливать бэкдоры в своих продуктах. Однако Apple отклонила эти требования, заявив, что бэкдоры обязательно будут обнаружены и использованы злоумышленниками.

США обвинили Huawei в установке бэкдоров для доступа к мобильным сетям по всему миру

Власти США утверждают, что Huawei может получить доступ к мобильным сетям по всему миру с помощью бэкдоров в своём оборудовании, пишет ресурс The Wall Street Journal. Эта возможность, как заявляют официальные лица США, есть у китайской компании уже более 10 лет.

ASSOCIATED PRESS

ASSOCIATED PRESS

«У нас есть доказательства того, что Huawei обладает секретной способностью получать доступ к носящей закрытый характер и личной информации в системах, которыми она управляет и продаёт по всему миру», — заявил советник президента США Дональда Трампа по национальной безопасности Роберт О'Брайен.

По словам официальных лиц США, эта проблема была впервые замечена при развёртывании сетевого оборудования 4G.

ЦРУ десятилетиями тайно управляло компанией по выпуску машин для шифрования

Издание The Washington Post и немецкая телекомпания ZDF вытащили на свет старую и малоизвестную историю об операции ЦРУ «Рубикон». Дело давнее, но поучительное. Журналистское расследование показало, что ЦРУ десятилетиями тайно управляло одной из крупнейших в мире компаний по выпуску машин для шифрования и защищённой связи, прослушивая как врагов, так и союзников.

Машинка для шифрования M-209 ()

Устройство для шифрования M-209-В (источник фото: Jahi Chikwendiu/The Washington Post)

Публикация этого материала в The Washington Post могла стать следствием непростых отношений между двумя правящими партиями в США накануне выборов нового президента страны. Джефф Безос, глава Amazon и владелец издания «Вашингтон пост», открыто конфликтует с нынешним президентом США Дональдом Трампом и мог воспользоваться случаем лишний раз пройтись граблями по действующей администрации.

О самой операции «Рубикон» можно прочесть в свежей публикации на русском зеркале Deutsche Welle. Мы же расскажем как всё начиналось и чем закончилось. История вкратце такова. До 2018 года швейцарская компания Crypto AG с 50-х годов прошлого века поставляла правительствам по всему миру системы шифрованной связи. Клиентами Crypto AG были свыше 100 стран как дружественных США, так и враждебных. Все продаваемые Crypto AG системы имели бэкдор и позволяли расшифровывать дипломатическую, военную и шпионскую переписку. Но самое интересное в этом то, что с определённого момента швейцарская компания стала собственностью ЦРУ и немецкой разведки, и они ещё на этом неплохо зарабатывали.

О чём не рассказала Deutsche Welle, так это об истоках Crypto AG, и как она стала сотрудничать с ЦРУ. Основателем швейцарской компании Crypto AG стал выходец из России Борис Хагелин. После Октябрьской революции Хагелин в возрасте 25 лет сбежал в Швецию. В 1940 году после оккупации Швеции германскими войсками он уехал в США, где изобрёл удачную машинку для шифрования M-209, которая начала использоваться в армии США. После войны он уехал в Швейцарию, где восстановил компанию Crypto AG и усовершенствовал аппараты для шифрования.

Борис Хагелин с женой в Нью-Йорке в 1949 году ()

Борис Хагелин с женой в Нью-Йорке в 1949 году (источник фото: Bettmann Archive)

Вряд ли такого человека могли отпустить просто так. В любом случае, ЦРУ связалось с Хагелиным в Швейцарии и предложило сотрудничать в обмен на финансирование Crypto AG. Тем самым разведка США, а позже к ней добавилась западногерманская разведка, получили доступ к шифровальному оборудованию, которое за немалые деньги закупали правительства союзных стран и стран-противников. СССР и Китай, к слову, в этом не участвовали.

Позже в ЦРУ начали беспокоиться о том, что в случае смерти Хагелина они могут потерять доступ к шифровальному оборудованию. На этот случай организация через подставную компанию с регистрацией в Лихтенштейне вошла в долю с Crypto AG, а позже стала полным собственником швейцарской компании. Произошло это в 1969 году. Также с 60-годов шифрование переходит на базу электроники, и перехват становится осуществлять ещё проще.

Идиллия длилась до конца 80-х годов, пока Рональд Рейган, бывший на тот момент президентом США, не начал публично отчитывать Ливию за сочувствие к террористической атаке в Берлине. Эта информация была секретная и проходила только по каналам шифрования техникой Crypto AG. Тогда же власти Ирана, которые тоже пользовались оборудованием этой компании, начали проверку, и всплыло много интересного. Доверие к компании было подорвано. Немцы, кстати, опасаясь шумихи по поводу возможного провала вскоре вышли из этого предприятия, хотя ЦРУ сотрудничало с Crypto AG до 2018 года.

В 2018 году компания Crypto AG была ликвидирована, хотя её оборудование широко используется во всём мире до сих пор. Вместо неё создана компания Crypto International. Последняя уверяет, что она не имеет никакого отношения к разведке США или других стран. Честное слово. Впрочем, самое забавное будет, если когда-нибудь выяснится о приверженности Бориса Хагелина делу Революции и о том, что шифровальные машинки Crypto AG кроме ЦРУ получал также КГБ.

Китайское приложение, продвигаемое компартией, включает бэкдор с доступом к личным данным

Похоже, коммунистическая партия Китая имеет доступ ко всем данным на более чем 100 млн смартфонах Android благодаря бэкдору, встроенному в новое идеологическое приложение, которое правительство активно продвигало в этом году. Проверка кода приложения со стороны немецких специалистов из компании Cure53 по заказу Фонда открытых технологий (ФОТ) показала, что ПО позволяет властям получать сообщения и фотографии с телефонов пользователей, просматривать их контакты и историю посещений Сети, а также активировать аудиозапись. Инициатива ФОТ финансируется правительством США в рамках радио «Свободная Азия».

Люди с патриотическими надписями «Улыбки для Китая» и «Моя китайская мечта» рядом с инсталляцией «Я люблю Китай» в Пекине (Ng Han Guan/AP)

Люди с патриотическими надписями «Улыбки для Китая» и «Моя китайская мечта» рядом с инсталляцией «Я люблю Китай» в Пекине (Ng Han Guan/AP)

«Коммунистическая партия Китая, по сути, имеет доступ к данным более 100 миллионов пользователей, — сказала директор по технологиям Фонда открытых технологий Сара Аун (Sarah Aoun). — Эта инициатива исходит напрямую от центрального правительства, которое расширяет свои наблюдения за повседневной жизнью граждан».

Си Цзиньпин сажает дерево — фотография из приложения «Изучение Великой нации» (Justin Chin/Bloomberg News)

Си Цзиньпин сажает дерево — фотография из приложения «Изучение Великой нации» (Justin Chin/Bloomberg News)

Партия, возглавляемая председателем Си Цзиньпином (Xi Jinping), в январе запустила приложение под названием «Изучение Великой нации». Название — каламбур, потому что на китайском слово «изучать» производится как «сюэси» и включает в себя фамилию лидера страны. Приложение содержит новостные статьи и видео, многие из которых посвящены деятельности господина Си или его идеологии «Мышление Си Цзиньпина». Оно также поощряет чувство конкуренции: пользователи получают очки за чтение статей и их комментирование, имеется таблица лидеров, показывающая, как пользователи проходят опросы.

Люди фотографируют инсталляцию в Шанхае (AP)

Люди фотографируют инсталляцию в Шанхае (AP)

Приложение было названо высокотехнологичным эквивалентом знаменитой Красной книжечки Мао Цзэдуна (Mao Zedong) и было запущено в рамках кампании по укреплению идеологического контроля Коммунистической партии над китайским населением. Оно быстро стало самым загружаемым приложением в Китае. В апреле государственные средства массовой информации опубликовали самые последние доступные данные о том, что в нём зарегистрировано более 100 млн пользователей.

Портрет председателя Си перед видео с ним же во время речи на параде в честь 70-летия компартии Китая (Mark Schiefelbein/AP)

Портрет председателя Си перед видео с ним же во время речи на параде в честь 70-летия компартии Китая (Mark Schiefelbein/AP)

Новый бэкдор атакует пользователей торрент-сервисов

Международная антивирусная компания ESET предупреждает о появлении новой вредоносной программы, которая угрожает пользователям торрент-сайтов.

Зловред получил название GoBot2/GoBotKR. Он распространяется под видом различных игр и приложений, пиратских копий фильмов и сериалов. После загрузки такого контента пользователь получает безобидные на первый взгляд файлы. Однако на деле в них скрыта вредоносная программа.

Активация зловреда происходит после нажатия на LNK-файл. После установки GoBotKR начинается сбор системной информации: данные о конфигурации сети, операционной системе, процессоре и установленных антивирусных программах. Эти сведения затем отправляются на командный сервер, расположенный в Южной Корее.

Собранные данные затем могут быть использованы злоумышленниками при планировании тех или иных атак в киберпространстве. Это, в частности, могут быть распределённые атаки типа «отказ в обслуживании» (DDoS).

Зловред способен выполнять широкий перечень команд. Среди них: раздача торрентов через BitTorrent и uTorrent, изменение фона рабочего стола, копирование бэкдора в папки облачных хранилищ (Dropbox, OneDrive, Google Drive) или на съёмный носитель, запуск прокси- или HTTP-сервера, изменение настроек брандмауэра, включение или отключение диспетчера задач и др.

Не исключено, что в перспективе инфицированные компьютеры будут объединены в ботнет для совершения DDoS-нападений. 

Облачный сервис ASUS снова замечен в рассылке бэкдоров

Не прошло и двух месяцев, как исследователи по безопасности вычислительных платформ снова уличили облачный сервис ASUS в рассылке бэкдоров. На этот раз скомпрометированным оказался сервис и ПО WebStorage. С его помощью хакерская группа BlackTech Group устанавливала на компьютеры жертв вредоносное программное обеспечение Plead. Точнее, японский специалист по кибербезопасности компания Trend Micro считает ПО Plead инструментом группы BlackTech, что позволяет с определённой степенью точности определить злоумышленников. Добавим, группа BlackTech специализируется на кибершпионаже, а объектами её внимания считаются государственные институты и компании в Юго-Восточной Азии. Ситуация со свежим взломом ASUS WebStorage имела отношение к деятельности группы на Тайване.

Активность Plead в программе ASUS WebStorage в конце апреля обнаружили специалисты компании Eset. Ранее группа BlackTech распространяла Plead с помощью фишинговых атак через рассылку по электронной почте и через маршрутизаторы с открытыми уязвимостями. Последняя атака оказалась необычной. Хакеры внедрили Plead в программу ASUS Webstorage Update.exe, которая является фирменным инструментом компании для обновлений ПО. Затем бэкдор активировался также фирменной и доверенной программой ASUS WebStorage.

По мнению специалистов, внедрить бэкдор в утилиты ASUS хакеры смогли благодаря недостаточной защите в протоколе HTTP с помощью так называемой атаки «человек посредине» (man-in-the-middle). Запрос на обновление и передачу файлов с сервисов ASUS по HTTP может быть перехвачен, и вместо доверенного ПО жертве передаются заражённые файлы. В то же время у ПО ASUS отсутствуют механизмы проверки подлинности загруженных программ перед выполнением на компьютере жертвы. Перехват обновления возможен на скомпрометированных маршрутизаторах. Для этого достаточно халатного отношения администраторов к установкам по умолчанию. Большинство маршрутизаторов в атакуемой сети от одного производителя с логинами и паролями заводской установки, информация о которых не является тайной за семью печатями.

Сервис ASUS Cloud оперативно отреагировал на уязвимость и обновил механизмы на сервере обновлений. Тем не менее, компания рекомендует пользователям проверить собственные компьютеры на наличие вирусов.

Бэкдор кибергруппировки Turla позволяет захватить контроль над серверами Microsoft Exchange

Компания ESET провела анализ вредоносной программы LightNeuron, которая используется участниками известной киберпреступной группировки Turla.

Хакерская команда Turla получила известность ещё в 2008 году — после взлома сети Центрального командования Вооружённых сил США. Цель киберпреступников — кража конфиденциальных данных, представляющих стратегическую важность.

За последние годы от действий злоумышленников Turla пострадали сотни пользователей в более чем 45 странах, в частности правительственные и дипломатические учреждения, военные, образовательные, исследовательские организации и пр.

Но вернёмся к зловреду LightNeuron. Этот бэкдор позволяет установить практически полный контроль над почтовыми серверами Microsoft Exchange. Получив доступ к транспортному агенту Microsoft Exchange, злоумышленники могут читать и блокировать письма, заменять вложения и редактировать текст, а также писать и рассылать сообщения от имени сотрудников организации.

Вредоносная активность скрыта в специально созданных PDF-документах и JPG-изображениях; связь с бэкдором осуществляется путём направления запросов и команд через эти файлы.

Специалисты ESET отмечают, что очистка системы от зловреда LightNeuron представляет собой довольно сложную задачу. Дело в том, что удаление вредоносных файлов не приносит результатов и может привести к нарушению работы Microsoft Exchange.

Есть основания полагать, что данный бэкдор также применяется для Linux-систем. 

Positive Technologies сообщила о находке новой потенциальной «закладки» в чипах Intel

Вряд ли кто-то будет спорить с тем, что процессоры ― это довольно сложные решения, которые просто не могут работать без самодиагностики и сложных средств контроля как на этапе изготовления, так и в процессе эксплуатации. Разработчики просто обязаны иметь средства «всевластия», чтобы быть полностью уверенными в годности изделия. И ведь эти инструменты никуда не деваются. В дальнейшем все эти средства диагностики в составе процессора могут служить благим целям в виде технологий удалённого контроля типа Intel AMT, так и потенциально могут стать бэкдором для спецслужб или злоумышленников, что для пользователя часто одно и то же.

iStockphoto

iStockphoto

Как вы можете помнить, в мае 2016 года специалисты компании Positive Technologies обнаружили, что модуль Intel Management Engine 11 для реализации технологии AMT в составе системного хаба (PCH) претерпел серьёзные изменения и стал уязвимым для атак злоумышленников. До версии IME 11 модуль был на уникальной архитектуре и без специальной документации не представлял особой опасности, а он может открыть доступ к информации в памяти ПК. С версии IME 11 модуль стал x86-совместимым и доступным для изучения широким массам (подробнее об уязвимости INTEL-SA-00086 здесь и дальше по ссылкам). Более того, через год выявилась связь между IME и программой слежки АНБ США. Дальнейшее изучение IME привело к открытию ещё одной потенциальной «закладки» в контроллерах и процессорах Intel, о которой вчера на конференции Black Hat в Сингапуре рассказали специалисты Positive Technologies Максим Горячий и Марк Ермолов.

В составе хаба PCH и в процессорах Intel обнаружен многофункциональный логический анализатор сигналов VISA (Intel Visualization of Internal Signals Architecture). Точнее, VISA ― это тоже инструмент Intel по проверке процессоров на исправность. Документация на блок не находится в открытом доступе, но это не значит, что её нет. Изучение VISA выявило, что изначально деактивируемый на заводе Intel анализатор может быть активирован злоумышленником, и он обеспечит доступ как к информации в памяти ПК, так и к сигнальным последовательностям периферии. Причём способов включения VISA нашлось несколько.

PCH

PCH

Включить VISA и получить, например, доступ к веб-камерам удалось на обычной материнской плате. Никакого специального оборудования для этого не потребовалось. Этот и другой пример специалисты Positive Technologies продемонстрировали в ходе доклада на Black Hat. Напрямую с АНБ наличие VISA (пока) никто не связывает, кроме, конечно, конспирологов. Однако если в наличии имеется недокументированная возможность включить анализатор сигнала в любой системе на платформе Intel, то где-то её обязательно включат.

ASUS подтвердила наличие бэкдора в утилите Live Update

Недавно «Лаборатория Касперского» раскрыла необычную кибератаку, жертвами которой могли стать порядка миллиона пользователей портативных и настольных компьютеров ASUS. Расследование показало, что киберпреступники добавили бэкдор в утилиту ASUS Live Update, которая используется для обновления BIOS, UEFI и ПО материнских плат и ноутбуков тайваньской компании. Вслед за этим злоумышленники организовали распространение модифицированной утилиты через официальные каналы.

ASUS подтвердила этот факт, опубликовав специальный пресс-релиз по поводу атаки. Согласно официальному заявлению производителя, Live Update — инструмент обновления ПО для устройств компании — подвергся атакам класса APT (Advanced Persistent Threat). Термин APT используется в индустрии для характеристики государственных хакеров или, реже, высокоорганизованных преступных групп.

«В небольшое количество устройств был внедрён вредоносный код посредством сложной атаки на наши серверы Live Update в попытке нацелиться на очень небольшую и конкретную группу пользователей, — сообщается в пресс-релизе ASUS. — Служба поддержки ASUS работает с подвергнутыми атаке пользователями и предоставляет помощь для устранения угроз безопасности».

«Небольшое количество» несколько противоречит информации «Лаборатории Касперского», которая заявила, что обнаружила вредоносное ПО (названное ShadowHammer) на 57 тысячах компьютеров. При этом, по оценкам специалистов по безопасности, многие другие устройства тоже могли быть подвергнуты взлому.

В пресс-релизе ASUS говорится, что бэкдор был удалён из последней версии утилиты Live Update. ASUS также сообщила, что обеспечивала комплексное шифрование и дополнительные инструменты проверки безопасности для защиты клиентов. Кроме того, ASUS создала инструмент, который, по её утверждению, определит, была ли подвергнута атаке конкретная система, а также предложила обеспокоенным пользователям обращаться в её службу поддержки.

Как сообщается, атака происходила в 2018 году в течение не менее пяти месяцев, а «Лаборатория Касперского» обнаружила бэкдор в январе 2019 года.

Lenovo: работающие в Китае компании вынуждены внедрять бэкдоры

На прошлой неделе на конференции Lenovo Transform среди множества новых предложений для центров обработки данных компания объявила о партнёрстве с американским поставщиком систем хранения данных NetApp для создания продукта специально для китайского рынка.

Журналисты The Inquirer предположили, что уникальный для Китая продукт создаётся с единственной целью: внедрения бэкдоров, и воспользовались возможностью поговорить об этом с техническим директором и главой стратегии бизнеса Lenovo в области ЦОД Питером Хортенсиусом (Peter Hortensius).

Представитель компании начал с общих фраз: «Мы глобальная компания. Наша философия сформировалась очень давно. Мы хотим нанимать на рабочие места местных жителей. Все наши руководители работают в своих родных странах, кроме меня, я канадец в США. Мы делаем это совершенно сознательно, не только для упрощения коммуникаций, но и для того, чтобы лучше понимать, как действовать в местных условиях. Это означает, что мы можем уважать местные законы. Например, если региональные требования заставляют считаться с чужой интеллектуальной собственностью или расплачиваться за последствия, мы уважаем это требование».

Дабы не ходить вокруг да около, журналисты спросили прямо: будет ли Lenovo внедрять лазейки, если об этом попросит китайское правительство? И получили ответ: «Если они затребуют бэкдоры по всему миру, мы их не станем внедрять. Если же им понадобятся лазейки для Китая, давайте просто признаем, что любая интернациональная компания в Китае делает то же самое. Мы соблюдаем местные законы. Если они требуют, чтобы мы не добавляли чёрных ходов, мы этого не делаем. И мы не просто соблюдаем законы, а следуем этике и духу законов. Точно так же, если страны желают иметь доступ — и это не только Китай, таких стран больше — им предоставляют то, что они просят».

Нельзя сказать, что Lenovo готова выполнить все требования Китая, тем не менее следует учитывать, что китайские серверы не могут гарантировать полную защиту информации, как, впрочем, и в ряде других стран — о чём говорил представитель компании. Lenovo старается подчеркнуть, что её серверы распространяются локально и поэтому остальные клиенты и партнёры ничем не рискуют. Но производителям, включая Lenovo, вероятно, придется заплатить свою цену за ведение бизнеса в стране с крупнейшим населением.

window-new
Soft
Hard
Тренды 🔥
Новая статья: Gamesblender № 537: анонс Jagged Alliance 3, возвращение Outcast и первый геймплей Bayonetta 3 8 ч.
Fall Guys стала самой скачиваемой игрой в истории PS Plus и попала в «Книгу рекордов Гиннесса» 8 ч.
Twitter повысила качество видео на платформе 8 ч.
Градостроительная стратегия про бобров Timberborn за неделю разошлась тиражом в 130 тыс. копий 10 ч.
Из-за ошибки в iOS сторонние приложения лишились поддержки 120-Гц анимации в iPhone 13 Pro 10 ч.
Для Diablo II: Resurrected вышел первый патч, исправивший баг с потерей прогресса 10 ч.
Российский разработчик обнаружил 4 уязвимости в iOS — за полгода Apple закрыла только одну 11 ч.
Twitter, Facebook и WhatsApp обжаловали штрафы за отказ локализовать пользовательские данные в России 23 ч.
Google начнёт показывать в результатах поиска видеоролики из TikTok и Instagram 23 ч.
Новая статья: Могучее российское инди, часть II: как независимые студии из РФ добиваются мирового признания, в чём залог успеха и как дарить игрокам настоящие эмоции 24 ч.