Российских хакеров обвинили в использовании Twitter для хищения данных
Новая вредоносная программа под названием Hammertoss используется для сокрытия хищений данных из зараженных компьютеров. Об этом пишет CNET со ссылкой на отчет (.pdf) компании FireEye, по сведениям которой этот инструмент применяет группа высококвалифицированных хакеров, действующих в интересах российского правительства.
Отличительной особенностью Hammertoss является имитация действий реального пользователя, вплоть до соблюдения графика работы жертвы, поэтому антивирусные программы, ищущие подозрительную деятельность в компьютере, не распознают эту программу, отмечает CNET.
Hammertoss действует следующим образом, утверждают эксперты FireEye. После попадания в скомпрометированный компьютер программа приступает к выполнению серии повседневных задач. Сначала, используя алгоритм, она ищет сообщения от определенных учетных записей в Twitter, из которых получает инструкции, представленные в виде хештега и сетевого адреса.
Затем Hammertoss обращается к сервису Github, чтобы загрузить изображение, которое выглядит обычной картинкой, но содержит в коде файла дополнительные инструкции от хакеров. Используя полученную информацию программа начинает закачивать данные с скомпрометированного компьютера в облачное хранилище, где она становится доступной злоумышленникам.
По сведениям FireEye, хакеры используют Hammertoss только для получения доступа к небольшому количеству ценных объектов. В компании не уточнили, против кого конкретно использовалась данная программа, поскольку связаны соглашениями о конфиденциальности со своими клиентами.
Группу хакеров, использующих Hammertoss, в FireEye назвали APT29 (Advanced Persistent Threat 29). Компания утверждает, что инструмент был обнаружен в начале 2015 года, а сама группа действует по крайней мере с конца 2014 года. В отчете отмечается, что АРТ29 считают связанной с российскими властями из-за характера сведений, которые она пытается получить. Кроме того, говорится в документе, группа прекращает свою работу в дни, которые считаются в России праздничными, и активна в рабочее время, совпадающее с часовым поясом UTC+3, в котором находятся Москва и Петербург.
В апреле сообщалось, что компании удалось зафиксировать атаку на госструктуру некоего государства со стороны группировки APT28, которая также использует продвинутые программные инструменты и предположительно финансируется правительством России. Взлом, по данным источников Bloomberg, был осуществлен с целью получить данные о переговорах по поводу санкций.
Видеокадры с места пожара у аэропорта Минвод
Зеленский подписал закон об увеличении штрафов за нарушения воинского учета
Путин на вопрос о мирных переговорах ответил словами «нас не приглашают»
Пол Маккартни первым среди британских музыкантлв вошел в список миллиардеров
Терминалы Starlink, которые применяют ВСУ, вышли из строя
Минобороны опубликовало видеокадры с уничтожением безэкипажных катеров ВСУ
Как в России и других странах потребляют и производят вино. Инфографика
Чемезов оценил сравнение сегодняшней ситуации с серединой 1980-х. Видео
Боррель пообещал, что ЕС не признает независимость Тайваня
Президент Сербии Вучич процитировал маршала Жукова
Во что инвестирует герой «Игры на понижение»? Сделки Майкла Бьюрри
Российский автомобиль «Атом» вывели на открытые тесты. Фото
В Москве не будут строить слишком маленькое жилье. Что это значит
Какая обувь опасна для здоровья. Карточки
