Подписывайтесь на Газету.Ru в Telegram Публикуем там только самое важное и интересное!
Новые комментарии +

Русские хакеры обидели Microsoft

Fancy Bear использовали уязвимость Windows

Обвинения в адрес нашумевшей группировки Fancy Bear, которая якобы связана с российскими спецслужбами, посыпались и от интернет-корпораций. Microsoft считает, что злоумышленники для своих целей использовали уязвимость операционной системы Windows.

О том, что к кибератакам, в ходе которых использовалась «дыра» в платформе, причастны хакеры из Strontium, более известной как Fancy Bear или APT 28, Micrososft накануне сообщила в своем блоге.

Перед тем как компания из Редмонда сама рассказала об уязвимости, информацию распространили аналитики Google.

Специалисты проинформировали Microsoft о своей находке еще 21 октября, однако никаких рекомендаций или исправлений производителем программного обеспечения сделано не было.

«Эта уязвимость особенно серьезна, поскольку мы знаем, что ее активно используют», — подчеркнули в Google.

В свою очередь, Microsoft раскритиковала факт публикации этих сведений, так как, по мнению руководства компании, они могли подвергнуть клиентов потенциальному риску.

Патч, который должен устранить данный изъян, выйдет только 8 ноября. При этом производитель софта отметил, что пользователям браузера Edge на Windows 10 Anniversary Update нечего опасаться.

Опасный Flash-плеер

Уязвимость, о которой идет речь, связана с Flash-плеером от Adobe. Компания принимает участие в расследовании, сотрудничает с Microsoft и уже выпустила обновление для устранения незащищенности платформы.

В частности, аналитики Google нашли в Adobe Flash две уязвимости нулевого дня и одну — в драйвере ядра Windows. Для пользователей собственного браузера Chrome поисковик уже выпустил обновление, закрывающее найденную «дыру».

Strontium, по версии Microsoft, распространяла фишинговые письма, адресованные «конкретной целевой группе клиентов», в которых содержался эксплойт под Flash-плеер, получающий контроль над браузером. Используя повышенные привилегии в ядре Windows, устанавливался бэкдор, который и обеспечивал доступ к информации на компьютере жертвы.

«Уязвимости Flash Player относятся к типу Remote Code Execution. Они позволяют удаленно исполнить код в браузере или операционной системе. В свою очередь, уязвимости Windows бывают этого же типа либо Local Privilege Escalation, то есть позволяют повысить привилегии в системе до максимального уровня», — объяснил «Газете.Ru» ведущий вирусный аналитик ESET Russia Артем Баранов.

Используя связку из этих двух типов эксплойтов, злоумышленник может удаленно установить полный контроль над системой жертвы: загружать драйверы, управлять всеми подключенными устройствами.

«У нас нет никакой информации по специфике использования данного эксплойта», — рассказал в беседе с The Wall Street Journal пресс-секретарь Adobe. В Microsoft сообщили Reuters, что также не зафиксировали случаев эксплуатации уязвимости. На том, что «дыра» активно используется злоумышленниками, настаивает только Google.

По словам Баранова, в полной безопасности пользователи обновленного Flash Player в последней версии Windows 10 и браузерах Microsoft Edge и Google Chrome. «Эти браузеры используют специальные механизмы защиты, блокирующие действие эксплойта», — добавил эксперт.

Однако Edge работает только в Windows 10, а Chrome может защитить пользователей только на Windows 8 и выше.

Поэтому Windows Vista и Windows 7 пока беззащитны перед эксплойтом, пользователям нужно ждать выпуска обновления.

Мишки против журналистов

Производитель Windows еще в прошлогоднем отчете, посвященном безопасности, заявлял о деятельности Strontium, которая ведется против пользователей системы с 2007 года.

Целями группировки, как считают в Microsoft, являются политики, дипломаты, военные НАТО, журналисты и политические советники. Хакеры гонятся не за финансовой выгодой, а за получением «секретной информации».

Доклад компании из Редмонда так бы и остался особо незамеченным, если бы не приближающиеся выборы президента в США. На протяжении практически всей предвыборной гонки публикуется информация о хакерах, подконтрольных властям России. Кремлевские взломщики, по мнению Хиллари Клинтон и администрации президента Барака Обамы, стоят за атаками на Демократическую партию США и ВАДА.

Согласно исследованию Crowdstrike, авторство взломов такого уровня принадлежит Fancy Bear при ГРУ и Cozy Bear при ФСБ. Исследователи придерживаются мнения, что обе группы действовали независимо друг от друга.

В конце октября ESET опубликовала подробный доклад, посвященный деятельности Fancy Bear. В нем говорится, что группировка всплывала под такими именами, как Strontium, APR 28, Pawn Storm, Sofacy, Tsar Team, TG-4127.

Специалисты ESET установили, что злоумышленники рассылали фишинговые письма владельцам аккаунтов почтового сервиса Gmail (принадлежит Google). Сообщения содержали подставные ссылки и просьбу от лица Google сменить пароль, так как он был якобы скомпрометирован.

Письма Fancy Bear были направлены в посольства и министерства обороны ряда стран.

Целями хакеров, по данным ESET, являлись украинские политики, организации при НАТО, журналисты из Восточной Европы, члены партии ПАРНАС, участники хакерской группировки «Анонимный интернационал», российские оппозиционеры.

Одним из получателей фишингового письма по какой-то причине стал главный редактор Tjournal Никита Лихачев, о чем он написал в своем фейсбуке.

Ко всему прочему в октябре российские активисты и журналисты сообщили о фишинговых письмах, содержащих информацию о попытке взлома Gmail-почты. Все они были замаскированы под службу поддержки Google. Список получивших письма на своей странице в Facebook опубликовал директор фонда «Образ будущего» Олег Козловский. В перечне упоминаются Елена Панфилова, Максим Кац, Илья Клишин, Роман Доброхотов и другие.

Главный редактор украинского издания Reed и бывший муниципальный депутат района Южное Тушино Вера Кичанова в разговоре с «Газетой.Ru» подтвердила получение подобных уведомлений от Google. «Мне последнюю неделю каждый день почти приходят письма про подозрительную активность, мол, кто-то пытался войти в мой аккаунт, попытка заблокирована», — сообщила она. Впрочем, Кичанова допустила, что ее случай не связан с Fancy Bear. «Пишут, что вход из Британии. Думаю, просто какие-то проблемы с IP на факультете», — рассказала находящаяся сейчас в Соединенном Королевстве журналистка.

В случае с Microsoft аналитик ESET Артем Баранов подчеркнул, что в настоящее время нет исчерпывающих доказательств, чтобы ответить на вопрос об источнике атаки.

Новости и материалы
В Петербурге задержали пенсионерку, подозреваемую во взрыве банкомата
Саперы МЧС уничтожили боеголовку ракеты HIMARS в Рыльске
В Кремле рассказали, кого Путин не будет поздравлять с Новым годом
В Кремле объяснили предложение Путина провести «технологическую дуэль» с Западом
В Федерации хоккея оценили допуск российских фигуристов на Олимпиаду-2026
У берегов Керчи убраны пятна мазута
В МИД оценили возможность назначения посла России до инаугурации Трампа
Volkswagen сократит 35 тысяч рабочих мест к 2030 году
Путин поговорил с главой Татарстана после атаки на Казань
На Украине обучают ИИ для управления дронами
Один из лидеров «Динамо» может покинуть клуб
Умерла актриса Ирена Баженова
Белоусов объяснил необходимость создания нового рода войск
В МИД РФ прокомментировали заявления Румынии про вмешательство России в выборы президента
Захарова назвала блюдо, которое приготовит на Новый год
Ученые объяснили парадоксальную природу отрицательного времени в квантовом мире
Зеленский назначит скандального посла Мельника постпредом Украины при ООН
Маск рассказал, кто «крайне подвел» немцев
Все новости