Публикации
Fujitsu ETERNUS DSP - разработано для будущего, статья
Технологии охлаждения для следующего поколения HPC-решений, статья
Что такое современный HBA?, статья
Fugaku– самый быстрый суперкомпьютер в мире, статья
НРС – эпоха революционных изменений, статья
Weka для AI-трансформации, статья
Cloudera Data Platform – “лучшее из двух миров”, статья
Excelero NVEdge для HA IoT-эры, статья
HPE: легкий путь в IIoT, статья
DAOS: СХД для HPC/BigData/AI приложений в эру экзаскейл_вычислений, статья
IPsec в пост-квантовую эру, статья
Дезагрегированные компонуемые среды для высокопроизводительных задач, статья
HPE Primera: интеллектуальная СХД HPE 3PAR, статья
HPE Elastic Platform for Big Data and Analytics, статья
LiCO: оркестрация гибридныхНРС/AI/BigData_инфраструктур, статья
Новое поколение СХД Fujitsu ETERNUS, статья
Зональное хранение данных, статья
За пределами суперкомпьютеров, статья
Применение Intel® Optane™ DC и Intel® FPGA PAC, статья
Адаптивные HPC/AI-архитектуры для экзаскейл-эры, статья
FusionStorage 8.X: облачное хранилище для ЦОД нового поколения, статья
Микросхемы ускорения вычислений нейросетей, статья
Persistent Memory: новый уровень хранения данных, статья
Как строить озера данных? , статья
End-to-end NVMe AFA-массивы Huawei, статья
SweRV Core – первое RISC-V процессорное ядро Western Digital, статья
Преимущества использования SCM-кэша в составе внешних СХД HPE, статья
Технологии кэширования данных современных СХД, статья
 
Обзоры
Все обзоры в Storage News
 
Тематические публикации
Flash-память
Облачные вычисления/сервисы
Специализ. СХД для BI-хранилищ, аналитика "больших данных", интеграция данных
Современные СХД
Информационная безопасность (ИБ), борьба с мошенничеством
Рынки
Ошибка OpSec помогла раскрыть хакерскую атаку, жертвами которой стали более 800 000 человек в России

3, октябрь 2019  —  Редко встречающаяся цепочка ошибок OpSec привела к открытию нового банковского ботнета Android, нацеленного на жителей России. По оценкам исследователей, ботнет Geost действует с 2016 года и заразил более 800 000 Android-устройств и мог контролировать несколько миллиардов рублей.

Необычное открытие было сделано после того, как хакеры решили довериться вредоносной прокси-сети, созданной с использованием вредоносной программы HtBot. Вредоносная программа HtBot предоставляет прокси-сервис, который можно арендовать, чтобы дать возможность пользователям псевдоанонимно общаться в интернете. Именно анализ сетевого взаимодействия HtBot привел к обнаружению и раскрытию крупной вредоносной операции, которая затронула более 800 000 устройств на базе Android.

Злоумышленники крайне неудачно выбрали платформы анонимизации, чтобы скрыть свои следы. Им не удалось зашифровать свои сообщения, что позволило исследователям узнать всю их внутреннюю работу. Найденные чаты показали, как хакеры обращались к серверам, вводили новые устройства в ботнет и как они избегали антивирусного программного обеспечения. Но самое интересное — исследователи смогли найти личные переписки злоумышленников.

В одной из найденных бесед член группы сообщает, что хочет покинуть ее, но тимлид уговаривает его остаться: « Александр, если мы начали вместе, нам нужно закончить работу тоже вместе. Сейчас это работает, и мы можем зарабатывать деньги. Не каждый день мы получаем 100 тысяч за продвижение ».

Исследователям не совсем понятно, что подразумевается под « продвижением », поскольку в беседе также упоминались отмывание денег и платежи с использованием популярных среди русскоязычных киберпреступников систем. Дальнейший анализ показал, как хакеры вводят устройства в ботнет, как доставляется банковский троян на банковский счет жертвы.

« Мы получили действительно беспрецедентное представление о том, как работают подобные группировки, — говорит Анна Широкова, исследователь в Avast. — Поскольку эта группа не смогла скрыть свои действия, у нас получилось увидеть не только образцы вредоносного ПО, но и понять, как хакеры работают с шпионскими программами более низкого уровня, которые подключают устройства к ботнету. В общей сложности уже было более восьмисот тысяч жертв. По предварительным данным, группа могла контролировать миллионы в валюте ».

Ботнет Geost и банковский Троян

Ботнет, который исследователи назвали Geost, представляет собой сложную инфраструктуру зараженных телефонов Android. Телефоны заражены Android APK, которые похожи на различные поддельные приложения. Например, они имитируют банковские приложения и приложения социальных сетей. После заражения телефоны подключаются к ботнету и могут управляться удаленно. Как правило, злоумышленники могут получить доступ к SMS, к их отправке, к общению с банками и перенаправлению трафика телефона на разные сайты. Хакеры получают доступ к огромному количеству личной информации от пользователя.

После заражения C&C-сервер сохраняет полный список SMS-сообщений жертв, начиная с момента заражения устройства. SMS-сообщения затем обрабатываются в автономном режиме на командном сервере для автоматического расчета баланса каждой жертвы. После обработки данных хакеры могли узнать, у кого из жертв самый большой баланс на счете.

Ботнет имеет сложную инфраструктуру, включающую как минимум 13 IP-адресов, более 140 доменов и более 140 файлов APK.

Главными целями банковского трояна были 5 банков, которые, в основном, расположены в России.

Больше подробностей можно найти в блоге Avast .

О компании Avast

Avast (LSE: AVST) — мировой лидер в области решений цифровой безопасности. Компания предлагает продукты под брендами Avast и AVG, которые обеспечивают более 400 миллионов интернет-пользователей качественной защитой от всех типов интернет-угроз и опасностей растущего Интернета вещей. Сеть обнаружения угроз Avast является одной из самых совершенных в мире и использует технологии машинного обучения и искусственного интеллекта для обнаружения и предотвращения угроз в режиме реального времени. Продукты Avast для мобильных устройств, ПК и Mac удостоены сертификатов VB100, AV-Comparatives, AV-Test, OPSWAT, West Coast Labs и др. Посетите сайт: www . avast . ru .

Публикации по теме
Информационная безопасность (ИБ), борьба с мошенничеством
 
Новости Avast

© "Storage News" journal, Russia&CIS
Редакция: 115516, Москва, а/я 88; тел./факс - (495) 233-4935;
www.storagenews.ru; info@storagenews.ru.