Интернет-пиратство, хакерство.

#331980

Технологические компании бросают вызов итальянскому щиту защиты от пиратства
27 Января 2025 года

Европейская ассоциация компьютерной и коммуникационной промышленности (CCIA Europe) выразила серьёзную обеспокоенность в связи с итальянской инициативой по борьбе с пиратством «Пиратский щит». В рамках этой инициативы правообладатели могут сообщать о предполагаемых пиратских сайтах итальянскому регулятору СМИ (AgCom), который приказывает интернет-провайдерам блокировать доступ пользователей к этим сайтам в течение 30 минут.

Несмотря на то, что система якобы предназначена для борьбы с нарушением авторских прав в интернете, её зависимость от IP-адресов и блокировки DNS, в том числе VPN и общедоступных DNS-серверов, делает её слишком широким и потенциально опасным инструментом, утверждает CCIA Europe в письме в Европейскую комиссию.

Ассоциация, в которую входят такие крупные технологические компании, как Google, Amazon и Cloudfare, отмечает, что ускоренная 30-минутная блокировка, неясные процедуры проверки и неадекватные механизмы возмещения ущерба создают высокий риск чрезмерной блокировки законных сервисов.

Эта обеспокоенность усиливается из-за участия в разработке платформы блокировки компании, связанной с отчитывающейся организацией (Lega Serie A), что может привести к потенциальному конфликту интересов.

Недавняя ошибочная блокировка Google Диска в Италии, затронувшая всех итальянских пользователей на три часа, наглядно демонстрирует недостатки системы и её способность к масштабным сбоям.

CCIA Europe утверждает, что в «Щите от пиратства» отсутствует достаточная прозрачность и меры безопасности, что потенциально нарушает правила ЕС, такие как Положение об открытом интернете и Закон о цифровых услугах, а также основные права, такие как свобода слова.

Ассоциация призывает к более надёжной проверке, прозрачности и механизмам возмещения ущерба, чтобы смягчить негативные последствия этой инициативы, отмечая её несоответствие рекомендациям Европейской комиссии по борьбе с онлайн-пиратством.

Реклама IPTV сервисов

#331984

Россия опустилась 8-е место в мире по количеству DDoS-атак в 2024 году
27.01.2025 [12:10]

По данным компании StormWall, Россия заняла восьмое место по количеству DDoS-атак в 2024 году. Отмечается, что на долю страны пришёлся тот же процент от всех кибератак, что и годом ранее, но по итогам 2023 года Россия занимала седьмое место в этом рейтинге.

«Анализ основан на данных глобальной сети центров очистки трафика StormWall, которые обрабатывают огромные объёмы данных — более 5 Тбит/с при пиковых нагрузках. Именно эти сведения дают нам чёткое представление о текущем состоянии DDoS-угроз по всему миру», — говорится в сообщении StormWall.

В сообщении сказано, что 2024 год отличился не только ростом количества атак на 45 %, но и «колоссальным ростом» мощности DDoS-атак на уровне приложений, нацеленных на уязвимости критически важных частей приложений и на недостатки в логике и обработке данных. Мощность таких атак в минувшем году увеличилась вдвое по сравнению с 2024 годом. По мнению специалистов, это произошло из-за «серьёзных геополитических событий в мире», а также из-за роста конкуренции на рынке во второй половине года.

Спойлер

В дополнение к этому отмечается рост количества устройств в ботнетах, используемых злоумышленниками для проведения DDoS-атак. По данным StormWall, в среднем в России оно увеличилось в пять раз — с 7 тыс. устройств в 2023 году до 35 тыс. устройств в 2024 году. «Рост количества устройств является пугающей тенденцией, поскольку гигантские ботнеты могут запускать мощнейшие атаки, которые могут нанести огромный вред любой российской компании», — сказано в отчёте StormWall. Крупнейший обнаруженный в 2024 году в России ботнет насчитывал более 100 тыс. устройств (преимущественно маршрутизаторы Asus).

Ещё в прошлом году на 268 % по сравнению с предыдущим годом увеличилось количество случаев «ковровых бомбардировок», нацеленных сразу на сотни или тысячи IP-адресов жертвы. Основная цель таких атак заключается в выводе из строя инфраструктуры. Актуальным трендом остаются многовекторные DDoS-атаки, которые направлены на несколько разных сетевых уровней и элементов инфраструктуры. Количество таких атак выросло на 32 % по сравнению с 2023 годом. «Это один из наиболее вредоносных типов нападений, который может причинить большой ущерб организации», — сказано в сообщении StormWall.

Чаще всего в 2024 году злоумышленники атаковали российские предприятия в сфере телекоммуникаций. Доля атак на телекоммуникационную отрасль выросла до 31 % (годом ранее этот показатель был равен 14 %). Средний показатель эффективности атак на телеком-предприятия в России составил 57 %. Злоумышленники также часто атаковали представителей госсектора (17 % атак) и ретейла (14 % атак).

В компании отметили, что одним из важнейших итогов 2024 года является смещение фокуса злоумышленников с количества проводимых атак на их качество. Всё чаще киберпреступники придерживаются подхода, при котором потенциальная цель хорошо изучается, и вектор атаки формируется именно под её особенности.

#332055

Технологические компании бросают вызов итальянскому «Пиратскому щиту»

Спойлер

Ассоциация компьютерной и коммуникационной промышленности (CCIA Europe) выразила серьезную обеспокоенность в отношении антипиратской инициативы Италии Piracy Shield. В рамках этой инициативы владельцы авторских прав могут сообщать о предполагаемых пиратских веб-сайтах итальянскому медиарегулятору (AgCom), который предписывает интернет-провайдерам блокировать доступ пользователей к этим сайтам в течение 30 минут.

Хотя система якобы разработана для борьбы с нарушением авторских прав в Интернете, зависимость системы от блокировки IP-адресов и DNS, включая VPN и публичные DNS-резолверы, делает ее чрезмерно широким и потенциально опасным инструментом, утверждает CCIA Europe в письме Европейской комиссии.

Ассоциация, в которую входят такие крупные технологические компании, как Google, Amazon и Cloudfare, отмечает, что ускоренное 30-минутное окно блокировки, нечеткие процедуры проверки и неадекватные механизмы возмещения ущерба создают высокий риск чрезмерной блокировки легитимных сервисов.

Эта обеспокоенность усиливается участием компании, аффилированной с подотчетной организацией (Lega Serie A), в разработке блокчейн-платформы, что вызывает потенциальные проблемы конфликта интересов.

Недавняя ошибочная блокировка Google Drive в Италии, затронувшая всех итальянских пользователей на три часа, наглядно демонстрирует недостатки системы и ее потенциал для масштабных сбоев.

CCIA Europe утверждает, что «Защита от пиратства» не обеспечивает достаточной прозрачности и гарантий, что потенциально нарушает такие правила ЕС, как Регламент открытого Интернета и Закон о цифровых услугах, а также основные права, такие как свобода выражения мнений.

Ассоциация призывает к более надежным механизмам проверки, прозрачности и возмещения ущерба для смягчения негативных последствий инициативы, отмечая ее несоответствие рекомендациям Европейской комиссии по борьбе с интернет-пиратством.

#332263

Исследование: более 700 000 шведских домов имеют доступ к пиратскому контенту

Спойлер

В начале 2024 года шведское правительство инициировало расследование, направленное на пересмотр национальной политики в области кино. Теперь правительство приняло решение о дополнительной директиве для текущего расследования. Дополнительная директива включает анализ необходимости и условий, при которых может быть реализован запрет на использование частными лицами нелегального стриминга, а также предложение о том, как такой запрет может быть структурирован.

Mediavision сообщает, что нелегальные стриминговые сервисы продолжают расти среди шведских домохозяйств. Осенью 2024 года более 700 000 домохозяйств платили за нелегальный стриминговый сервис. Это новый рекорд и резкий рост примерно на 25 процентов по сравнению с весной 2024 года.

«Пиратство остается серьезной проблемой, особенно когда речь идет о нелегальном IPTV», — прокомментировала Наталия Борелиус, старший аналитик Mediavision. «Более 700 000 домохозяйств в Швеции теперь имеют такую услугу, что является новым рекордным показателем. Для отрасли хорошо, что правительство теперь решило изучить, как противостоять этому развитию».

#332346

Антивирусы бесполезны? Хакеры научились отключать их и после взлома уходить незамеченными

Выявлена новая группа хакеров – она атакует компании, предварительно отключая их защиту, в том числе и антивирусы, включая отечественные. Число таких атак растет.

Антивирус не помеха

Российская ИБ-компания ГК «Солар» сообщила CNews об обнаружении новой хакерской группировки NGC4020, которая научилась фактически отключать защитное ПО при атаках на российские компании. Это касается, в числе прочего и антивирусов, даже отечественных – в распоряжении хакеров есть инструментарий, позволяющий отключать защитные решения любых разработчиков.

Спойлер

Деятельность группы выявили эксперты центра исследования киберугроз Solar 4RAYS, входящего в ГК «Солар». В качестве примера реальной ситуации они привели взлом неназванной промышленной компании. После атаки специалисты провели расследование и нашли в каталоге файлов вредоносное ПО, которое хакеры даже не скрывали. Оно находилось на виду – в папке по пути C:\ProgramData\programs\scvrc.exe.

Для установления причин появления вредоносной программы эксперты Solar 4RAYS провели анализ системы и выявили, что сама утилита была внедрена в систему более 30 дней назад.

Проблема длиною в годы

Расследование показало, что вредоносный файл был внедрен, когда хакеры проникли в сеть компании при помощи уязвимости в программном обеспечении DameWare Mini Remote Control. Это софт для удаленного управления компьютерами. Уязвимость дала хакерам возможность загрузить в ядро вредоносный драйвер для обхода средств защиты и вывода из строя компонентов самозащиты антивирусного решения.

Эксперты установили, что задействованная хакерами дыра присутствовала еще со времен пандемии коронавируса COVID-19, которая накрыла мир в 2020 г. «Оказалось, что со времен пандемии для отдельных систем в инфраструктуре порт DameWare так и остался доступен из внешней сети», – сообщили CNews представители ГК «Солар».

Проникнув с сеть компании, хакеры не только разместили вредоносное ПО, но и попутно отключили антивирус «Лаборатории Касперского». Повторить эту операцию хакерам удастся лишь в том случае, если компания, которую они атакуют, не обновляет свое защитное ПО – «Лаборатория Касперского» уже выпустила апдейт для улучшения механизмов самозащиты своих продуктов.

Как все работает

Загруженное на ПК компании вредоносное ПО, помимо прочего, отключает технологию MiniFilter для фильтрации файловой системы, используемой в ОС Windows. Эту технологию часто эксплуатируют программные решения для кибербезопасности.

Они используют ее для отслеживания необычного поведения в системе. Также при помощи MiniFilter защитные решения собирают логи обо всех операциях в файловой системе. Также MiniFilter используется и для защиты непосредственно самих защитных решений от атак хакеров.

Внедренный хакерами драйвер генерирует на ПК собственный MiniFilter. Затем он «находит смещение callback-функции MiniFilter защитного решения и заменяет их фиктивной функцией-заглушкой», сообщили CNews в ГК «Солар». За счет этого они лишают установленный антивирус возможности отслеживать происходящее на компьютере.

Это открывает хакерам полный доступ к ПК жертвы. Они могут, не боясь обнаружения, запускать в системе любой вредоносный код

История повторяется

Схема взлома с отключением антивирусов, используемая NGC4020, концептуально не является чем-то новым невиданным, подчеркнули в ГК «Солар». Эксперты Solar 4RAYS уже сталкивались с подобным – другие хакеры проделали этот трюк при помощи эксплуатации сбоя при взаимодействии Windows с цифровыми подписями драйверов.

«В последнее время атакующие все чаще применяют инструменты, позволяющие отключать и обходить средства защиты, поставляемые различными вендорами. Подходы и техническая реализация уклонения и деактивации защитных решений отличаются лишь деталями, например, именами файлов их компонентов», – сказал CNews эксперт центра исследования киберугроз Solar 4RAYS ГК «Солар» Дмитрий Маричев.

«Особая опасность заключается в том, что технику теперь активно применяют проукраинские группировки, которые нацелены на уничтожение российской инфраструктуры, а не на «тихий» шпионаж, как атакующие из Азиатского региона», – добавил Дмитрий Маричев.

#332349

США готовят закон для уничтожения пиратских сайтов во всех странах мира

В США подготовлен проект закона FADPA, вводящий простую процедуру блокировки иностранных пиратских интернет-ресурсов на уровне телеком-операторов и провайдеров услуг DNS. Закон в случае его принятия способен превратить интернет-провайдеров в «полицию копирайта» и, по сути, разрешает ограничивать доступ к ресурсам на глобальном уровне, предупреждают защитники прав потребителей.

Новая антипиратская инициатива

Палата представителей Конгресса США рассмотрит проект закона о борьбе с иностранным цифровым пиратством – Foreign Anti-Digital Piracy Act (FADPA), пишет Ars Technica.

Автором законопроекта выступает Зои Лофгрен (Zoe Lofgren), член демократической партии, представляющая Калифорнию.

В случае принятия законопроекта правообладатели получат правовой механизм блокировки зарубежных интернет-ресурсов, распространяющих пиратский контент. Он предполагает блокировку по решению суда в США на уровне крупных интернет-провайдеров и поставщиков публичных сервисов разрешения доменных имен (DNS).

Спойлер

Утверждается, что норма не будет способствовать ограничению свободы в интернете – она затронет исключительно нарушителей законодательства в области интеллектуальной собственности.

Согласно пресс-релизу, опубликованному конгрессвумен на сайте Палаты представителей, на разработку законопроекта ушло более года, в ней приняли участие представители технологической отрасли, кино- и телеиндустрии. Лофгрен планирует продвигать закон совместно с лидерами Республиканской партии.

Как это должно работать

Согласно FADPA, ограничивать доступ к пиратским ресурсам по решению суда обязаны провайдеры услуг широкополосного доступа в интернет со 100 тыс. абонентов и более, а также DNS-сервисы с годовой выручкой свыше $100 млн.

Исключения предусмотрены для VPN-сервисов и им подобны – «предназначенных для шифрования и маршрутизации трафика пользователя через сервера-посредники»; провайдеров DNS, предоставляющих услуги разрешения доменных имен исключительно с применением протоколов, предполагающих использование криптографических алгоритмов; операторов, для которых предоставление телеком-услуг не является основным видом деятельности (кофейни, книжные магазины, авиакомпании, учебные заведения и пр.).

Процедура получения предварительного ордера на блокировку зарубежного интернет-ресурса, замеченного в нарушении авторских прав, включает обращение в один из окружных судов США с прошением. В прошении должно быть показано, что распространение иностранным сайтом или онлайн-сервисом конкретного материала, вероятно, нарушает исключительные права заявителя и способно нанести ему невосполнимый вред.

После получения предварительного ордера правообладатель сможет перейти к процедуре получения ордера, предписывающего провайдерам «принять разумные и технически осуществимые меры для предотвращения доступа пользователей услуг, предоставляемых провайдером, к иностранному веб-сайту или онлайн-сервису, указанным в ордере», говорится в документе.

Судьи не смогут диктовать провайдерам, какие конкретно технические решения им необходимо применять для блокировки ресурсов. Пресекать попытки обхода ограничений с помощью VPN операторов также, вероятно, заставлять не станут.

Временное «окно» между выдачей правообладателю предварительного ордера и переходу ко второй, «технической», фазе, составит не менее 30 дней. В течение этого периода представитель оператора иностранного веб-сайта, работу которого планируется ограничить, может явиться в суд и оспорить первоначальное решение.

Закон против злостных нарушителей

Согласно материалам, опубликованным Лофгрен, суды смогут выдавать предварительные ордеры на блокировку при соблюдении правообладателем определенных правил и соответствии иностранного веб-ресурса, ограничения доступа к которому запрашивается, ряду критериев.

Во-первых, должен быть предоставлено доменное имя, IP-адрес сайта или другие сведения, позволяющие однозначно его идентифицировать. Перед обращением в суд инициатор блокировки обязан попытаться уведомить оператора сайта и сервисы, обеспечивающие его функционирование (интернет-провайдер, хостер и др.), о нарушении. Во-вторых, должно быть установлено, что оператор ресурса физически находится за пределами США или факт его нахождения на территории страны не может быть установлен. Наконец, инициатор несет перед законом ответственность за дачу ложных показаний (perjury), касающихся достоверности изложенных в заявлении фактов.

В рамках FADPA допускается блокировка только тех сайтов, которые изначально запущены в качестве пиратской площадки, не имеющие значимых источников дохода, не завязанных на нарушении копирайта, или которые целенаправленно продвигаются операторами как предназначенные для распространения пиратского контента.

Таким образом, российские сервисы «Авито» и «Вконтакте», несмотря на включение Торговым представительством США в список рынков контрафакции и пиратства в январе 2025 г., по критериям FADPA даже в случае его одобрения властями США, вероятно, заблокированы быть не могут.

С также попавшими в него RuTracker и LibGen ситуация более сложная – правообладатели пытаются добиться их закрытия на протяжении многих лет. Научная библиотека LibGen, в частности, в конце декабря 2024 г. лишилась нескольких доменных имен – их разделегирование было инициировано правоохранительными органами США. В январе 2025 г. Telegram-канал популярнейшего торрент-трекера RuTracker (ранее torrents.ru) был заблокирован за нарушение авторских прав.

Критика инициативы

FADPA уже вызвал критику со стороны ряда общественных организаций, в частности, Public Knowledge (защита прав потребителей) и Re:Create Coalition (выступает за «сбалансированность» норм авторского права).

По оценке Public Knowledge, предложенный Лофгрен комплекс мер способен превратить интернет-провайдеров в «полицию копирайта» за счет американского налогоплательщика. Представитель организации Мередит Роуз (Meredith Rose) также отметила, что FADPA, по сути, разрешает добиваться блокировок в глобальном масштабе, поскольку те, по задумке законодателя, будут осуществляться в том числе силами крупнейших провайдеров DNS, услугами которых пользуются в огромном количестве стран мира. Причем сделать это можно будет в ускоренном порядке и на основании одного заявления.

В Re:Create Coalition считают, что FADPA дарует крупным производителям контента «выключатель интернета, который они искали десятилетиями».

#332350

Європол та німецькі правоохоронці ліквідували два найбільші у світі хакерські форуми

30.01.2025 в 18:34
Європол та німецькі правоохоронці успішно ліквідували Cracked і Nulled — два з найбільших хакерських форумів у світі в рамках операції Talent, повідомляє Bleeping Computer. Влада заарештувала двох підозрюваних в Іспанії та конфіскувала 17 серверів, пов’язаних із цими платформами, які загалом налічували понад 10 мільйонів користувачів. Спецоперація, проведена з 28 по 30 січня, була спрямована на ліквідацію кіберзлочинних хабів, що сприяли крадіжці паролів, атакам із використанням вкрадених облікових даних, поширенню шкідливого програмного забезпечення та використанню хакерських інструментів.

Спойлер

Попри те, що форуми містили деякі обговорення етичного хакінгу, Cracked і Nulled головним чином функціонували як торгівельні майданчики для кіберзлочинців. Платформи надавали доступ до інструментів зламу, включаючи експлойти на основі штучного інтелекту та сканери вразливостей, “конфіги” для атак із використанням вкрадених облікових даних, що дозволяли проводити масові атаки методом перебору паролів, “комбо-листи” з викраденими іменами користувачів і паролями, а також шкідливе ПЗ, експлойти та зламане програмне забезпечення. Європол назвав ці форуми “універсальними майданчиками” для кіберзлочинів, де вони купували та продавали вкрадені дані, шкідливі програми та хакерські послуги.

В операції брали участь правоохоронні органи США, Італії, Іспанії, Франції, Греції, Австралії та Румунії. Під час рейдів було проведено обшуки у семи приміщеннях у різних країнах, вилучено понад 50 електронних пристроїв для судово-криміналістичної експертизи, конфісковано 300 000 євро готівкою та в криптовалюті, а також відключено 12 доменів, пов’язаних із платформами. Серед закритих сервісів були SellIX — фінансовий процесор, який використовувався для кіберзлочинних транзакцій, та StarkRDP — хостинг-провайдер Windows RDP, який рекламувався на форумах.

У рамках операції ФБР вилучило кілька доменів, зокрема cracked[.]io, nulled[.]to, starkrdp[.]io, mysellix[.]io та sellix[.]io. Агентство перенаправило домени на сторінки з повідомленнями про вилучення, розміщені на серверах, що перебувають під контролем ФБР. На захоплених сайтах з’явилося оголошення: “Цей вебсайт, а також інформація про клієнтів і жертв сайту були вилучені міжнародними правоохоронними партнерами”.

Bundeskriminalamt (BKA), Федеральне кримінальне управління Німеччини, підтвердило, що серед конфіскованих даних є адреси електронної пошти, IP-адреси та журнали спілкування користувачів форумів, які будуть використані для подальших міжнародних розслідувань. Двох заарештованих підозрюваних затримала Національна поліція Іспанії у Валенсії. Адміністрація Cracked.io підтвердила закриття в заяві на Telegram: “Тепер, коли всі мають більше ясності щодо ситуації, Cracked.io було вилучено в рамках операції Talent, конкретні причини поки не розкриваються. Дійсно сумний день для нашої спільноти”.

Ліквідація Cracked і Nulled стала однією з найбільших міжнародних операцій із припинення діяльності кіберзлочинних форумів останніх років і, ймовірно, суттєво вплине на підпільну хакерську спільноту.

#332354

Более 18 тысяч хакеров заразили свои ПК при попытке установить компилятор вредоносных программ

Поговорка про кражу дубинки у вора воплотилась наяву в виде ботнета. Некий злоумышленник (или злоумышленники) распространили троянца под видом инструмента для создания вредоносных программ.

Жертвы мало смыслили

Хакер массово заразил своих «коллег по цеху» троянизированной версией компилятора вредоносных программ. По данным компании CloudSEK, заражены не менее 18 тыс. устройств, большинство из которых относится к РФ, США, Индии, Украине и Турции.

Спойлер

По мнению экспертов компании, злоумышленник атаковал низкоквалифицированных хакеров (script kiddies – «кулхацкеров») с использованием поддельного билдера, или компилятора, вредоносной программы XWorm RAT. Это троянец для обеспечения удаленного доступа.

Жертвы очевидно мало смыслят в кибербезопасности и попросту скачивают что попало – вредоносы, рекламируемые через всякие сетевые ресурсы.

Устройства хакеров были заражены с помощью троянца, замаскированного под инструмент для создания вредоносных программ

Троянизированный XWorm RAT распространялся через репозитории GitHub, платформы файлового хостинга, каналы в Telegram и видео на Youtube. Во всех этих ресурсах троянизированный компилятор подавался как средство создания RAT-программ, за которые не надо платить. Попав на устройство жертвы, эта программа проверяет систему на предмет признаков виртуализации или отладочной среды. Если обнаруживаются свидетельствующие об этом процессы, программа прекращает функционировать. Если же система оказывается самой обычной, то вредонос вносит в системный реестр изменения, позволяющие ему перезапускаться после каждой перезагрузки. Зараженная система также регистрируется в командном сервере, базирующемся на платформе Telegram. Для этого используется фиксированный идентификатор и токен Telegram-бота.

Далее вредонос автоматически крадет токены Discord, сведения о системе, по IP-адресу определяет ее физическое месторасположение, отправляет всю эту информацию на контрольный сервер и ждет дополнительных команд от оператора. Всего поддерживается 56 команд: вредонос может попытаться выкрасть пароли, файлы cookie и информацию для автозаполнения форм из веб-браузера. Кроме того, он умеет перехватывать нажатия клавиш, делать скриншоты, останавливать определенные процессы (в том числе связанные с защитным ПО), выводить файлы определенных типов из системы. Вариант с самоудалением также предполагается. Самой же опасной, пожалуй, является способность шифровать любые файлы с использованием присланного с контрольного сервера пароля.

Недобитый ботнет

Эксперты CloudSEK обнаружили, что операторы вредоноса вывели данные приблизительно из 11% зараженных устройств.

Исследователям удалось нейтрализовать оформившийся ботнет с помощью фиксированных API-токенов в коде вредоноса, что обеспечило им возможность массово разослать циклическую команду на самоудаление по всем машинам, подключенным на тот момент к Сети, сопровождавшуюся перебором идентификаторов, извлеченных из логов Telegram.

Как отмечается в публикации, исследователи провели также брут-форс всех идентификаторов с 1 по 9999, используя простой численный паттерн. Это позволило нейтрализовать только часть ботнета, поскольку, во-первых, не все машины были онлайн в момент запуска команды, а во-вторых, алгоритмы Telegram ограничивают массовые рассылки, так что некоторые сообщения могли не дойти.

«Хакеры активно атакуют друг друга, это известно давно, – отмечает Никита Павлов, эксперт по информационной безопасности компании SEQ. – Ни о какой «цеховой солидарности» речи тут не идет, если есть, что украсть, попытки это сделать будут предприняты».

Эксперт добавил, что в данном случае оператор всей этой кампании мог действовать в том числе из желания проучить «хакеров-недоучек», хотя масштабы кампании и усилия по распространению вредоноса свидетельствуют о том, что ее оператор или операторы имели скорее практические цели.

#332422

Северокорейские хакеры наводнили интернет клонами открытого ПО, в которые внедрили бэкдоры
31.01.2025 [13:21], Павел Котов

Хакерская группировка Lazarus, которую связывают с властями КНДР, провела крупномасштабную операцию Phantom Circuit — они скомпрометировали сотни систем по всему миру с целью кражи секретной информации. Для этого злоумышленники клонировали легитимное ПО с открытым кодом и внедряли в него бэкдоры в надежде, что разработчики и другие потенциальные жертвы, преимущественно работающие в криптовалютной отрасли, случайно воспользуются ими и сделают свои машины уязвимыми. Вредоносные проекты распространялись через крупные платформы, включая GitLab.

Схему обнаружили эксперты в области кибербезопасности из компании SecurityScorecard. В минувшем ноябре жертвами хакеров стали 181 разработчик преимущественно из европейского технологического сектора. В декабре их число выросло до 1225 человек, включая 284 из Индии и 21 из Бразилии. В январе к их числу добавились ещё 233 жертвы, в том числе 110 из технологического сектора Индии. Киберпреступникам удалось похитить учётные данные своих жертв, токены аутентификации, пароли и другую конфиденциальную информацию.

Спойлер

В число клонированных и изменённых хакерами репозиториев вошли такие проекты как Codementor, CoinProperty, Web3 E-Store, менеджер паролей на основе Python, а также другие приложения, связанные с криптовалютой и web3, рассказали в SecurityScorecard. Когда жертва неосознанно загружала и устанавливала такое приложение-форк, на его машину также устанавливался бэкдор, позволяющий злоумышленникам подключаться к ней, похищать конфиденциальные данные и отправлять их на свои ресурсы. Участвующие в схеме Phantom Circuit управляющие (C2) серверы Lazarus Group, как выяснилось, начали работу ещё в сентябре — они использовались для связи с заражёнными системами, доставки вредносного ПО и копирования украденных данных. Экспертам так и не удалось выяснить, «как обрабатывались извлечённые данные, и какая инфраструктура использовалась для управления этим серверами».

Эксперты обнаружили скрытую административную систему, размещённую на каждом сервере — она обеспечивала централизованное управление атакой; система была написана с на основе React и Node.js. Чтобы скрыть происхождение кампании, хакеры Lazarus Group применяли многослойную обфускацию. Чтобы скрыть географическое происхождение, использовался VPN, а на прокси-уровне вредоносная активность смешивалась с безобидным сетевым трафиком. Серверы размещались в инфраструктуре Stark Industries — специалисты SecurityScorecard установили, что к ним подключались не менее чем с шести северокорейских адресов, один из которых ранее был связан с атаками Lazarus на платформу Codementor. Похищенные данные выгружались в облачное хранилище Dropbox.

#332429

Российские медиа объявили войну пиратам: число заблокированных ссылок в поисковиках удвоилось за год
31.01.2025 [13:05]

В 2024 году резко выросло количество обращений российских медиахолдингов-правообладателей по поводу блокировки в выдаче поисковиков ссылок на пиратский контент, пишет «Коммерсантъ».

Как сообщила «Коммерсанту» компания «Яндекс», число ссылок на сайты и страницы с пиратским контентом, которые российские правообладатели внесли в реестр в рамках антипиратского меморандума, в 2024 году составило 180 млн, более чем вдвое превысив показатель 2023 года в размере 89 млн ссылок. В 2022 году в реестр было внесено 76,5 млн ссылок, а с начала действия меморандума в 2018 году до марта 2021 года «Яндекс» добавила в реестр 15 млн ссылок на пиратский контент.

Антипиратский меморандум был подписан поисковиками «Яндекс», Mail.ru, Rambler и правообладателями в РФ, включая производителей видеоконтента, 1 ноября 2018 года. Согласно документу, интернет-платформы обязаны удалять из выдачи ссылки на пиратские ресурсы во внесудебном порядке.

Спойлер

В сентябре 2023 года Роскомнадзор сообщил о присоединении к меморандуму книжной и музыкальной отраслей. Впрочем, как утверждают издательства, включение в реестр пока не принесло ожидаемых результатов, поскольку он разрабатывался исключительно для нужд кинокомпаний.

В «Газпром-медиа холдинге» (ГПМХ, включает телеканалы НТВ, ТНТ, ТВ-3, «Пятница!» и др.) рассказали, что в прошлом году инициировали блокировку около 17,4 тыс. сайтов. В частности, из выдачи «Яндекса» по его запросу было удалено более 6,2 млн ссылок, из выдачи Google — около 5 млн ссылок, что превышает показатель 2023 года на 17 %. Наибольшей популярностью у пиратов пользовались такие проекты, как «Жвачка», «Плевако», «Фарма», «Жуки», «Прелесть», «Красный 5», «Мир! Дружба! Жвачка!», «Бременские музыканты», «Сто лет тому вперед».

В свою очередь, в «Национальной медиа группе» направили примерно на 60 % больше запросов, чем в 2023 году, на блокировку пиратского контента, включая такие проекты, как «Трудные подростки», «Слово пацана. Кровь на асфальте», «Библиотекарь», «Плакса».

Также в 2024 году выросло число исков, в связи с нарушением авторских прав. Например, ГПМХ инициировал 904 судебных процесса, по 775 из них вынесены решения в пользу холдинга с возмещением ущерба в более чем 15,9 млн руб., что на 30 % больше, чем в 2023 году.

Большие суммы взысканий заставляют нарушителей идти с ГПМХ на контакт в поисках путей урегулирования конфликта, говорит директор департамента обеспечения защиты интеллектуальной собственности «ГПМ Цифровые инновации» Павел Русаков. «Например, в 2024 году мы провели успешные переговоры с администраторами нескольких пиратских сайтов, по итогам которых с площадок был удалён контент компаний ГПМХ», — сообщил он.

В Медиакоммуникационном союзе (объединяет телеком- и медиакомпании) связывают увеличение числа пиратских ссылок в реестре с ростом эффективности работы правообладателей по защите контента. При этом число охраняемых единиц контента не сильно выросло, утверждают источники на медиарынке. По данным «Индекса Кинопоиска Pro», российские онлайн-кинотеатры даже сократили в 2024 году число выпускаемых проектов на 25 %, с 201 до 151.

Как полагает источник «Коммерсанта», такой рост показателей можно объяснить только двумя факторами: или крупные российские правообладатели резко увеличили число ссылок на одну охраняемую единицу контента, или же иностранные правообладатели (Sony, Universal, Warner, Disney) отказались от правовой охраны своего контента.

Piknik TV