- Joined
- Dec 4, 2010
- Messages
- 471
- Reaction score
- 10
- Points
- 18
- Age
- 59
- Location
- Литва, Вильнюс +370 61354565
ABOUT VIRUSES, INTERIOR DOMAINS AND SPECIAL SERVICES
Dridex banking Trojan spreads through Word macros 10/28/2014
Researchers at Palo Alto Networks reported that the banking Trojan Dridex has changed the distribution method and is now infecting PCs using Word macros. Dridex is the latest version in the Bugat / Feodo / Cridex banking Trojan line, it has been actively used since July of this year. Until now, the trojan has been distributed via email, but last week the attack organizers changed the scheme, so now they send out Microsoft Word documents containing a macro that downloads and launches the malicious program.
Like its predecessors, Dridex is a typical banking Trojan modeled on Zeus. Its main functionality is the theft of credentials for access to online banking, so that attackers gain access to the victim’s funds and can transfer them to another account. Dridex uses the XML configuration file to determine the list of sites for which identity theft is performed. It also lists sites to ignore. Researchers say Dridex's distribution scheme changed on October 21. The victims of the attack are mainly US users. In particular, 9 different Word documents were noticed with which a malicious macro is distributed. Macros download files at the following addresses:
Link [.] Com / images / 1.exe
Link [.] Com / common / 1.exe
Link is not valid [.] Com / js / 1.exe
Link is not valid [.] Ro / html / js / bin.exe
Link is not valid [.] Com / js / bin.exe
Link is not valid [.] Ar / images / 1.exe
These are all legitimate websites that have apparently been hacked.
You can protect yourself from attacks by disabling Word macros. In general, this attack vector has been known for about 10 years, so Word macros should be disabled by default for most users.
Based on materials from xakep.ru
Experts revealed details about the large-scale espionage operation Darkhotel APT 11/11/2014
Kaspersky Lab experts revealed the details of the Darkhotel APT cyber espionage campaign, which hotel guests have been the victims of over the past few years. According to researchers, attackers infect hotel chains with spyware, which, when connected to Wi-Fi, gets to devices owned by business representatives.
Victims are often asked to install malware under the guise of legitimate software updates such as Adobe Flash, Google Toolbar, or Windows Messenger. At the same time, attackers use tools detected as Tapaoux, Pioneer, Karba, Nemim and others. Once on the computer, the malware tries to detect corporate information and credentials, and also downloads other, more complex tools, including keyloggers.
In the course of the study, LC experts found that web browsers of users in hotel chains are redirected directly to the Trojan’s executable files through embedded HTML code. “Attackers carefully placed both the embedded code and the executable files on trusted resources, namely, directly on the registration portals belonging to the hotel chain. It is worth noting that at present, all malicious files have already been deleted, ”experts say.
The victims of Darkhotel are often the leaders of large companies mainly from Asia and the United States, mainly in the countries of the Asia-Pacific region.
Based on materials from securitylab.ru
One million passwords from Yandex.Mail got public access 09.09.2014
On the evening of September 7, 2014, a text file with the credentials of a million Yandex.Mail users was made publicly available. The file 1000000cl.txt was initially placed on Yandex.Disk, but so far the list has spread all over the Web. You can check your email address for compromise yourself by downloading the password file. As a less preferred option, there is a web form for validation.
Numerous users have already confirmed the authenticity of the database, found their passwords and successfully logged into other people's mailboxes (article 272 of the Criminal Code of the Russian Federation). If someone else’s mailbox is not tied to a phone number, it is possible to specify your email address, thereby activate the mailbox and change the password without entering answers to secret questions.
According to a rough estimate, about 65% of the passwords from the database are valid at this minute, the rest of the accounts are blocked. Most likely, the leak was the result of hacking some kind of web service, phishing or brute force. Yandex has not yet provided a detailed explanation of the incident, but has denied any involvement in advance. Yandex press service said: “Passwords of Yandex users are securely protected and are not stored in clear text. Therefore, the published list is not a “hack” or a “leak” of Yandex. Our experts check this list, and so far there is no reason to believe that among the published accounts there are those that belong to “live” users (those who would go to our services, to “Mail”, and perform any actions), or those , which we would not know about hacking (such accounts have already been sent for password recovery for a long time). ” Yandex added that each individual password could leak due to infection of the user's computer with a virus that transfers personal data to scammers. Phishing is also considered.
Top 100 passwords in the Yandex database
How many times = Password
39177 123456
13892 123456789
982611
7926 qwerty
5853 1234567890
4668 1234567
4606 7777777
4324 123321
3304 000 000
3031 123123
2807 666666
2570 12345678
2416 555555
2299 654321
1804 gfhjkm
1500 777777
1482 112233
1432 121212
1431 12345
1385 987654321
1172 159753
1120 qwertyuiop
1109 qazwsx
967 222222
939 1q2w3e
874 0987654321
872 1q2w3e4r
832111
804 123qwe
772 zxcvbnm
762 88888888
724 123654
707 333333
697 131313
690 999999
661 4815162342
639 12344321
633 1qaz2wsx
6151111
609 asdfgh
583 qweasdzxc
578 123 123 123
574 159357
571 zxcvbn
545 qazwsxedc
533 ghbdtn
524 1234554321
523111111
500 1q2w3e4r5t
465 1029384756
455 qwe123
448 789456123
444 147258369
439 1234qwer
428 135790
426 098765
422 999999999
408 888888
408 12341234
401 12345qwert
395 qweasd
392 987654
391 111222
380 147852369
375 asdfghjkl
375 789456
373 samsung
365 159951
357 101 010
355 vfhbyf
353 444 444
348 qwerty123
348 nikita
335 qweqwe
331 q1w2e3
328 fyfcnfcbz
325 qwaszx
32500000000
322 qazxsw
321 010203
319 marina
316 9379992
316 123789
308 zzzzzz
308 qqqqqq
307 11223344
306 dbrnjhbz
303 qwertyu
299 147258
298 12345678910
296 232323
294 yfnfif
292 55555
291 aaaaaa
289 147852
287 fylhtq
284 fktrcfylh
279 1qazxsw2
278 q1w2e3r4
277 7654321
Based on materials from xakep.ru
Published database of 5 million passwords from Gmail 09/11/2014
Following the databases with passwords from mailboxes on Mail.ru and Yandex, a list of almost 5 million passwords from Gmail appeared on the Web, CNews writes with reference to the user of the Bitcoin Security forum under the nickname tvskit. According to the latter, more than 60% of the published credentials contained in the database are active. The document contains a list of credentials that can be used for authorization in any service of the American search engine. In contrast to the incidents with Mail.ru and Yandex, this time not only Russian-speaking users were affected, but also English- and Hispanic. Recall that on Sunday, September 7, there was a leak of 1.26 million passwords from the Yandex mail service. A day later, a database with 4.66 million Mail.ru accounts appeared on the Web. Note that at the time of writing the news, the Bitcoin Security website was not available. You can check the availability of an email address on the following resources: • isleaked.com/ (yandex.ru and mail.ru, gmail.com), • yaslit.ru/ (yandex.ru, mail.ru, gmail.com), • yandexexpose .azurewebsites.net.
Based on materials from securitylab.ru
THE NEW OLD MONEY-BREEDING VIRUS APPEARED
We have recorded cases in Lithuania, as well as in other countries, when a computer virus is launched via the Internet which, bypassing the protective systems, automatically removes money from bank accounts and transfers to other specially prepared accounts.
The system is very simple: you log in to your bank account via the Internet and enter all the correct codes and passwords, but you will see a sign that an error has occurred, the code or password has been entered incorrectly, you will re-type everything again and money has been automatically withdrawn from your account and transferred to another score. Those. With the first set of codes and passwords, you kind of give a command to transfer money, and by typing codes and passwords again you confirm the transfer and the money is transferred instantly. Moreover, as experts say, everything is done so quickly and automatically that it’s just not enough for the physical person to fill out the necessary details for the transfer of money, which is why sometimes in rare cases the protective system works in the banks themselves.
It is still unclear how the virus penetrates and spreads into personal computers, in any case it bypasses all protective systems and a person does not know about withdrawing money unless he himself finds an unclear transfer. Also, there is no evidence that it should be aimed at certain accounts or the amount of money on them, the only thing that comforts me and other large amounts that we have in Lithuania is that the withdrawn amounts were not less than 10 thousand litas (3 thousand euros) and seemingly at smaller amounts are just not rubbish. Where and to whom exactly the money goes there is no data since it is recorded that the money goes through several intermediate accounts. We were detained here with one “small fry” - a person who was looking for people who would agree to open an account in their name for allegedly transferring money earned abroad (and how many such catchers are there? And not only in Lithuania). Specialists cannot offer any ideal protection against this virus yet, and the standard set should not be used by an infected computer, update antivirus programs, etc.
I found on the Internet that a couple of years ago in 2012. something similar already happened. Then the Swedish experts discovered the virus conditionally called "Citadel" (the Zeus Trojan model was improved), which stole data from clients of Scandinavian banks to connect via the Internet to their bank account, and then it connected and charged money. As it was then established that the data was sent to an IP address in Russia. The principle of operation is that the client connects via the Internet to his account, he is asked to wait while checking the connection security and asks to reconnect (at the moment this is not even requested) and the money is read, and the client can not connect to the account again.
The FBI calculated the "second Snowden" 10/28/2014
The FBI has calculated the "second Snowden." According to information published by Yahoo News, US counterintelligence agents were able to find out who exactly in early August "leaked" secret information to Intercept. With reference to an unnamed source, Yahoo News reports that the FBI has already searched the suspect’s home, and North Virginia prosecutors have opened a criminal case. At the same time, senior US intelligence officials fear that the case will not go to court. As one of them stated on condition of anonymity, "after recent revelations, justice is not particularly willing to deal with such cases."
Suspicions of the presence in the ranks of the special services of another person issuing secret information to journalists appeared after the publication of Intercept on August 5, 2014, a closed government document issued a month after Snowden flew to Hong Kong in May 2013. The accompanying text reported that the paper was "obtained from a source in the intelligence community." It is worth noting that one of the co-founders of Intercept is Glenn Greenwald, the Guardian journalist, the first to publish confidential documents provided by Snowden. The information about contacts with the “second Snowden” was confirmed by journalist Jeremy Scahill: he called him “an extremely principled and courageous person who is taking great risks”.
Edward Snowden, a former employee of the US National Security Agency, became widely known in the summer of 2013 after he handed over to the press secret materials about the work of American intelligence agencies. The documents, in particular, contained information about the illegal surveillance that the US intelligence agencies conducted for a number of European politicians, as well as about collecting data on Internet users around the world. Now Snowden is in Russia, where he was granted a residence permit. At home, an American faces up to 30 years in prison for divulging state secrets.
Based on materials from Lenta.ru
US SPECIAL SERVICES INSTALL “BAGS” IN EXPORTED ROUTERS AND SERVERS [DLMURL] https://hi-tech.mail.ru/news/nsa-spy.html [/ DLMURL]
Former CIA officer Edward Snowden continues to expose the activities of American intelligence. This time he shared information on how the NSA (National Security Agency) of the United States monitors Internet traffic using network equipment exported from the country. This is reported by the Guardian newspaper, relying on information from the just-released book of its journalist Glen Greenwald (built on revelations by a CIA employee). One of its sections describes the installation of spy bugs in network equipment exported from the United States. Snowden claims the NSA has access to new, packaged networking equipment designed to be shipped overseas. Directly at customs, intelligence officers install their “bugs” on servers, routers and other network solutions, and then re-pack the equipment and put branded seals on the packaging so that the consumer who receives the goods does not notice anything suspicious. Thanks to this, the NSA gains wide access to many networks outside the United States.
The journalist notes that, probably, his own practice of surveillance using network equipment made the US authorities a couple of years ago accuse the leading Chinese manufacturers ZTE and Huawei of collaborating with the special services of their countries. One of the consequences of this was Huawei's decision in principle to leave the US market, announced at the end of last year. Recall that in the light of recent events in Ukraine and the US reaction (sanctions) in Russia, calls are increasingly being made to abandon the use of foreign products - a national payment system is already being developed, there are plans to create a Russian operating system and even the Internet, and Russian smartphones will soon be inaccessible to wiretaps by Western intelligence agencies.
Dridex banking Trojan spreads through Word macros 10/28/2014
Researchers at Palo Alto Networks reported that the banking Trojan Dridex has changed the distribution method and is now infecting PCs using Word macros. Dridex is the latest version in the Bugat / Feodo / Cridex banking Trojan line, it has been actively used since July of this year. Until now, the trojan has been distributed via email, but last week the attack organizers changed the scheme, so now they send out Microsoft Word documents containing a macro that downloads and launches the malicious program.
Like its predecessors, Dridex is a typical banking Trojan modeled on Zeus. Its main functionality is the theft of credentials for access to online banking, so that attackers gain access to the victim’s funds and can transfer them to another account. Dridex uses the XML configuration file to determine the list of sites for which identity theft is performed. It also lists sites to ignore. Researchers say Dridex's distribution scheme changed on October 21. The victims of the attack are mainly US users. In particular, 9 different Word documents were noticed with which a malicious macro is distributed. Macros download files at the following addresses:
Link [.] Com / images / 1.exe
Link [.] Com / common / 1.exe
Link is not valid [.] Com / js / 1.exe
Link is not valid [.] Ro / html / js / bin.exe
Link is not valid [.] Com / js / bin.exe
Link is not valid [.] Ar / images / 1.exe
These are all legitimate websites that have apparently been hacked.
You can protect yourself from attacks by disabling Word macros. In general, this attack vector has been known for about 10 years, so Word macros should be disabled by default for most users.
Based on materials from xakep.ru
Experts revealed details about the large-scale espionage operation Darkhotel APT 11/11/2014
Kaspersky Lab experts revealed the details of the Darkhotel APT cyber espionage campaign, which hotel guests have been the victims of over the past few years. According to researchers, attackers infect hotel chains with spyware, which, when connected to Wi-Fi, gets to devices owned by business representatives.
Victims are often asked to install malware under the guise of legitimate software updates such as Adobe Flash, Google Toolbar, or Windows Messenger. At the same time, attackers use tools detected as Tapaoux, Pioneer, Karba, Nemim and others. Once on the computer, the malware tries to detect corporate information and credentials, and also downloads other, more complex tools, including keyloggers.
In the course of the study, LC experts found that web browsers of users in hotel chains are redirected directly to the Trojan’s executable files through embedded HTML code. “Attackers carefully placed both the embedded code and the executable files on trusted resources, namely, directly on the registration portals belonging to the hotel chain. It is worth noting that at present, all malicious files have already been deleted, ”experts say.
The victims of Darkhotel are often the leaders of large companies mainly from Asia and the United States, mainly in the countries of the Asia-Pacific region.
Based on materials from securitylab.ru
One million passwords from Yandex.Mail got public access 09.09.2014
On the evening of September 7, 2014, a text file with the credentials of a million Yandex.Mail users was made publicly available. The file 1000000cl.txt was initially placed on Yandex.Disk, but so far the list has spread all over the Web. You can check your email address for compromise yourself by downloading the password file. As a less preferred option, there is a web form for validation.
Numerous users have already confirmed the authenticity of the database, found their passwords and successfully logged into other people's mailboxes (article 272 of the Criminal Code of the Russian Federation). If someone else’s mailbox is not tied to a phone number, it is possible to specify your email address, thereby activate the mailbox and change the password without entering answers to secret questions.
According to a rough estimate, about 65% of the passwords from the database are valid at this minute, the rest of the accounts are blocked. Most likely, the leak was the result of hacking some kind of web service, phishing or brute force. Yandex has not yet provided a detailed explanation of the incident, but has denied any involvement in advance. Yandex press service said: “Passwords of Yandex users are securely protected and are not stored in clear text. Therefore, the published list is not a “hack” or a “leak” of Yandex. Our experts check this list, and so far there is no reason to believe that among the published accounts there are those that belong to “live” users (those who would go to our services, to “Mail”, and perform any actions), or those , which we would not know about hacking (such accounts have already been sent for password recovery for a long time). ” Yandex added that each individual password could leak due to infection of the user's computer with a virus that transfers personal data to scammers. Phishing is also considered.
Top 100 passwords in the Yandex database
How many times = Password
39177 123456
13892 123456789
982611
7926 qwerty
5853 1234567890
4668 1234567
4606 7777777
4324 123321
3304 000 000
3031 123123
2807 666666
2570 12345678
2416 555555
2299 654321
1804 gfhjkm
1500 777777
1482 112233
1432 121212
1431 12345
1385 987654321
1172 159753
1120 qwertyuiop
1109 qazwsx
967 222222
939 1q2w3e
874 0987654321
872 1q2w3e4r
832111
804 123qwe
772 zxcvbnm
762 88888888
724 123654
707 333333
697 131313
690 999999
661 4815162342
639 12344321
633 1qaz2wsx
6151111
609 asdfgh
583 qweasdzxc
578 123 123 123
574 159357
571 zxcvbn
545 qazwsxedc
533 ghbdtn
524 1234554321
523111111
500 1q2w3e4r5t
465 1029384756
455 qwe123
448 789456123
444 147258369
439 1234qwer
428 135790
426 098765
422 999999999
408 888888
408 12341234
401 12345qwert
395 qweasd
392 987654
391 111222
380 147852369
375 asdfghjkl
375 789456
373 samsung
365 159951
357 101 010
355 vfhbyf
353 444 444
348 qwerty123
348 nikita
335 qweqwe
331 q1w2e3
328 fyfcnfcbz
325 qwaszx
32500000000
322 qazxsw
321 010203
319 marina
316 9379992
316 123789
308 zzzzzz
308 qqqqqq
307 11223344
306 dbrnjhbz
303 qwertyu
299 147258
298 12345678910
296 232323
294 yfnfif
292 55555
291 aaaaaa
289 147852
287 fylhtq
284 fktrcfylh
279 1qazxsw2
278 q1w2e3r4
277 7654321
Based on materials from xakep.ru
Published database of 5 million passwords from Gmail 09/11/2014
Following the databases with passwords from mailboxes on Mail.ru and Yandex, a list of almost 5 million passwords from Gmail appeared on the Web, CNews writes with reference to the user of the Bitcoin Security forum under the nickname tvskit. According to the latter, more than 60% of the published credentials contained in the database are active. The document contains a list of credentials that can be used for authorization in any service of the American search engine. In contrast to the incidents with Mail.ru and Yandex, this time not only Russian-speaking users were affected, but also English- and Hispanic. Recall that on Sunday, September 7, there was a leak of 1.26 million passwords from the Yandex mail service. A day later, a database with 4.66 million Mail.ru accounts appeared on the Web. Note that at the time of writing the news, the Bitcoin Security website was not available. You can check the availability of an email address on the following resources: • isleaked.com/ (yandex.ru and mail.ru, gmail.com), • yaslit.ru/ (yandex.ru, mail.ru, gmail.com), • yandexexpose .azurewebsites.net.
Based on materials from securitylab.ru
THE NEW OLD MONEY-BREEDING VIRUS APPEARED
We have recorded cases in Lithuania, as well as in other countries, when a computer virus is launched via the Internet which, bypassing the protective systems, automatically removes money from bank accounts and transfers to other specially prepared accounts.
The system is very simple: you log in to your bank account via the Internet and enter all the correct codes and passwords, but you will see a sign that an error has occurred, the code or password has been entered incorrectly, you will re-type everything again and money has been automatically withdrawn from your account and transferred to another score. Those. With the first set of codes and passwords, you kind of give a command to transfer money, and by typing codes and passwords again you confirm the transfer and the money is transferred instantly. Moreover, as experts say, everything is done so quickly and automatically that it’s just not enough for the physical person to fill out the necessary details for the transfer of money, which is why sometimes in rare cases the protective system works in the banks themselves.
It is still unclear how the virus penetrates and spreads into personal computers, in any case it bypasses all protective systems and a person does not know about withdrawing money unless he himself finds an unclear transfer. Also, there is no evidence that it should be aimed at certain accounts or the amount of money on them, the only thing that comforts me and other large amounts that we have in Lithuania is that the withdrawn amounts were not less than 10 thousand litas (3 thousand euros) and seemingly at smaller amounts are just not rubbish. Where and to whom exactly the money goes there is no data since it is recorded that the money goes through several intermediate accounts. We were detained here with one “small fry” - a person who was looking for people who would agree to open an account in their name for allegedly transferring money earned abroad (and how many such catchers are there? And not only in Lithuania). Specialists cannot offer any ideal protection against this virus yet, and the standard set should not be used by an infected computer, update antivirus programs, etc.
I found on the Internet that a couple of years ago in 2012. something similar already happened. Then the Swedish experts discovered the virus conditionally called "Citadel" (the Zeus Trojan model was improved), which stole data from clients of Scandinavian banks to connect via the Internet to their bank account, and then it connected and charged money. As it was then established that the data was sent to an IP address in Russia. The principle of operation is that the client connects via the Internet to his account, he is asked to wait while checking the connection security and asks to reconnect (at the moment this is not even requested) and the money is read, and the client can not connect to the account again.
The FBI calculated the "second Snowden" 10/28/2014
The FBI has calculated the "second Snowden." According to information published by Yahoo News, US counterintelligence agents were able to find out who exactly in early August "leaked" secret information to Intercept. With reference to an unnamed source, Yahoo News reports that the FBI has already searched the suspect’s home, and North Virginia prosecutors have opened a criminal case. At the same time, senior US intelligence officials fear that the case will not go to court. As one of them stated on condition of anonymity, "after recent revelations, justice is not particularly willing to deal with such cases."
Suspicions of the presence in the ranks of the special services of another person issuing secret information to journalists appeared after the publication of Intercept on August 5, 2014, a closed government document issued a month after Snowden flew to Hong Kong in May 2013. The accompanying text reported that the paper was "obtained from a source in the intelligence community." It is worth noting that one of the co-founders of Intercept is Glenn Greenwald, the Guardian journalist, the first to publish confidential documents provided by Snowden. The information about contacts with the “second Snowden” was confirmed by journalist Jeremy Scahill: he called him “an extremely principled and courageous person who is taking great risks”.
Edward Snowden, a former employee of the US National Security Agency, became widely known in the summer of 2013 after he handed over to the press secret materials about the work of American intelligence agencies. The documents, in particular, contained information about the illegal surveillance that the US intelligence agencies conducted for a number of European politicians, as well as about collecting data on Internet users around the world. Now Snowden is in Russia, where he was granted a residence permit. At home, an American faces up to 30 years in prison for divulging state secrets.
Based on materials from Lenta.ru
US SPECIAL SERVICES INSTALL “BAGS” IN EXPORTED ROUTERS AND SERVERS [DLMURL] https://hi-tech.mail.ru/news/nsa-spy.html [/ DLMURL]
Former CIA officer Edward Snowden continues to expose the activities of American intelligence. This time he shared information on how the NSA (National Security Agency) of the United States monitors Internet traffic using network equipment exported from the country. This is reported by the Guardian newspaper, relying on information from the just-released book of its journalist Glen Greenwald (built on revelations by a CIA employee). One of its sections describes the installation of spy bugs in network equipment exported from the United States. Snowden claims the NSA has access to new, packaged networking equipment designed to be shipped overseas. Directly at customs, intelligence officers install their “bugs” on servers, routers and other network solutions, and then re-pack the equipment and put branded seals on the packaging so that the consumer who receives the goods does not notice anything suspicious. Thanks to this, the NSA gains wide access to many networks outside the United States.
The journalist notes that, probably, his own practice of surveillance using network equipment made the US authorities a couple of years ago accuse the leading Chinese manufacturers ZTE and Huawei of collaborating with the special services of their countries. One of the consequences of this was Huawei's decision in principle to leave the US market, announced at the end of last year. Recall that in the light of recent events in Ukraine and the US reaction (sanctions) in Russia, calls are increasingly being made to abandon the use of foreign products - a national payment system is already being developed, there are plans to create a Russian operating system and even the Internet, and Russian smartphones will soon be inaccessible to wiretaps by Western intelligence agencies.
Original message
O ВИРУСАХ, ПОРОЛЯХ В ИНТЕРНЕТЕ И ДЕЯТЕЛЬНОСТИ СПЕЦСЛУЖБ
Банковский троян Dridex распространяется через макросы Word 28.10.2014
Исследователи из Palo Alto Networks сообщили о том, что банковский троян Dridex изменил метод распространения и теперь осуществляет заражение персональных компьютеров, используя макросы Word. Dridex — последняя версия в линейке банковских троянов Bugat/Feodo/Cridex, она активно используется с июля текущего года. До настоящего времени троян распространялся по электронной почте, но на прошлой неделе организаторы атаки изменили схему, так что теперь они рассылают документы Microsoft Word, содержащие макрос, который скачивает и запускает вредоносную программу .
Как и свои предшественники, Dridex представляет собой типичный банковский троян по образцу Zeus. Его главная функциональность — кража учётных данных для доступа к онлайн-банкингу, так что злоумышленники получают доступ к денежным средствам жертвы и могут перевести их на другой счёт. Dridex использует конфигурационный XML-файл для определения списка сайтов, для которых осуществляется кража учётных данных. Там также перечислены сайты, которые нужно игнорировать. Исследователи говорят, что схема распространения Dridex изменилась 21 октября. Жертвами атаки являются, преимущественно, пользователи из США. В частности, замечено 9 различных документов Word, с которыми распространяется вредоносный макрос. Макросы скачивают файлы по следующим адресам :
Ссылка[.]com/images/1.exe
Ссылка[.]com/common/1.exe
Ссылка не действительна[.]com/js/1.exe
Ссылка не действительна[.]ro/html/js/bin.exe
Ссылка не действительна[.]com/js/bin.exe
Ссылка не действительна[.]ar/images/1.exe
Всё это легитимные веб-сайты, которые, видимо, подверглись взлому.
Защититься от атаки можно с помощью отключения макросов Word. Вообще, данный вектор атаки известен уже около 10 лет, так что макросы Word и так должны быть отключены по умолчанию у большинства пользователей.
По материалам xakep.ru
Эксперты раскрыли подробности о масштабной шпионской операции Darkhotel APT 11.11.2014
Эксперты «Лаборатории Касперского» раскрыли подробности кампании по кибершпионажу Darkhotel APT, жертвами которой в течение нескольких последних лет становятся постояльцы отелей. По данным исследователей, злоумышленники инфицируют сети гостиниц шпионским ПО, которое при подключении к Wi-Fi попадает на устройства, принадлежащие представителям бизнеса.
Зачастую жертвам предлагается установить вредонос под видом обновлений легитимных программ, таких как Adobe Flash, Google Toolbar или Windows Messenger. При этом злоумышленники используют инструменты, детектируемые как Tapaoux, Pioneer, Karba, Nemim и др. Попав на компьютер, вредоносное ПО пытается обнаружить корпоративную информацию и учетные данные, а также загружает другие, боле сложные инструменты, в том числе кейлогеры.
В ходе исследования эксперты ЛК обнаружили, что web-браузеры пользователей в сетях отелей перенаправляются прямиком на исполняемые файлы трояна через внедренный HTML-код. «Злоумышленники аккуратно размещали как внедренный код, так и исполняемые файлы на доверенных ресурсах, а именно прямо на порталах регистрации, принадлежащих гостиничной сети. Стоит отметить, что в настоящее время все вредоносные файлы уже удалены», - сообщают эксперты.
Жертвами Darkhotel зачастую являются руководители крупных компаний преимущественно из Азии и США главным образом в странах Азиатско-Тихоокеанского региона.
По материалам securitylab.ru
В открытый доступ попал миллион паролей от Яндекс.Почты 08.09.2014
Вечером 7 сентября 2014 года в открытый доступ попал текстовый файл с учётными данными миллиона пользователей «Яндекс.Почты». Файл 1000000cl.txt изначально разместили на «Яндекс.Диске», но к настоящему моменту список разошёлся повсеместно по Сети. Проверить свой адрес электронной почты на предмет компрометации можно самостоятельно, скачав файл с паролями. Как менее предпочтительный вариант, есть веб-форма для проверки .
Многочисленные пользователи уже подтвердили аутентичность базы, нашли свои пароли и успешно зашли в чужие почтовые ящики (статья 272 УК РФ). Если чужой ящик не привязан к номеру телефона, то есть возможность указать свой email, активировать тем самым ящик и сменить пароль, не вводя ответов на секретные вопросы.
По примерной оценке, около 65% паролей из базы валидны на эту минуту, остальные аккаунты заблокированы. Скорее всего, утечка стала результатом взлома какого-то веб-сервиса, фишинга или брутфорса. Компания «Яндекс» пока не дала подробных разъяснений по инциденту, но заранее отрицает свою причастность. Пресс-служба «Яндекса» заявила: «Пароли пользователей “Яндекса” надёжно защищены и не хранятся в открытом виде. Поэтому опубликованный список — это не “взлом” и не “утечка” “Яндекса”. Наши специалисты проверяют этот список, и пока нет оснований считать, что среди опубликованных аккаунтов есть те, что принадлежат “живым” пользователям (тем, кто бы заходил на наши сервисы, в “Почту”, и совершал какие-либо действия), или тех, о взломе которых бы мы не знали (такие аккаунты уже давно отправлены на восстановление пароля)». В «Яндексе» добавили, что каждый отдельный пароль мог утечь вследствие заражения компьютера пользователя вирусом, который передаёт персональные данные мошенникам. Также рассматривается вариант фишинга.
Топ-100 паролей в базе «Яндекса»
Сколько раз встречается = Пароль
39177 123456
13892 123456789
982611
7926 qwerty
5853 1234567890
4668 1234567
4606 7777777
4324 123321
3304 000000
3031 123123
2807 666666
2570 12345678
2416 555555
2299 654321
1804 gfhjkm
1500 777777
1482 112233
1432 121212
1431 12345
1385 987654321
1172 159753
1120 qwertyuiop
1109 qazwsx
967 222222
939 1q2w3e
874 0987654321
872 1q2w3e4r
832111
804 123qwe
772 zxcvbnm
762 88888888
724 123654
707 333333
697 131313
690 999999
661 4815162342
639 12344321
633 1qaz2wsx
6151111
609 asdfgh
583 qweasdzxc
578 123123123
574 159357
571 zxcvbn
545 qazwsxedc
533 ghbdtn
524 1234554321
523111111
500 1q2w3e4r5t
465 1029384756
455 qwe123
448 789456123
444 147258369
439 1234qwer
428 135790
426 098765
422 999999999
408 888888
408 12341234
401 12345qwert
395 qweasd
392 987654
391 111222
380 147852369
375 asdfghjkl
375 789456
373 samsung
365 159951
357 101010
355 vfhbyf
353 444444
348 qwerty123
348 nikita
335 qweqwe
331 q1w2e3
328 fyfcnfcbz
325 qwaszx
325 00000000
322 qazxsw
321 010203
319 marina
316 9379992
316 123789
308 zzzzzz
308 qqqqqq
307 11223344
306 dbrnjhbz
303 qwertyu
299 147258
298 12345678910
296 232323
294 yfnfif
292 55555
291 aaaaaa
289 147852
287 fylhtq
284 fktrcfylh
279 1qazxsw2
278 q1w2e3r4
277 7654321
По материалам xakep.ru
Опубликована база данных 5 млн паролей от Gmail 11.09.2014
Вслед за базами данных с паролям от ящиков на Mail.ru и «Яндекс» в Сети появился перечень из почти 5 млн паролей от Gmail, пишет CNews со ссылкой на пользователя форума Bitcoin Seсurity под ником tvskit. По утверждениям последнего, более 60% опубликованных учетных данных, содержащихся в базе, являются активными. Документ содержит список учетных данных, которые можно использовать для авторизации в любом сервисе американского поисковика. В отличие от инцидентов с Mail.ru и «Яндекс», в этот раз пострадали не только русскоязычные пользователи, но и англо- и испаноязычные. Напомним, что в воскресенье, 7 сентября, произошла утечка 1,26 млн паролей от почтового сервиса «Яндекса». Сутки спустя в Сети появилась база данных с 4,66 млн учетных записей Mail.ru. Отметим, что на момент написания новости сайт форума Bitcoin Seсurity был недоступен. Проверить наличие адреса электронной почты можно на следующих ресурсов: • isleaked.com/ (yandex.ru и mail.ru, gmail.com), • yaslit.ru/ (yandex.ru, mail.ru, gmail.com), • yandexexpose.azurewebsites.net.
По материалам securitylab.ru
ПОЯВИЛСЯ НОВЫЙ СТАРЫЙ ВИРУС ПО ПОЖИРАНИЮ ДЕНЕГ
У нас в Литве зафиксированы случая, а также и в других странах, когда через интернет запускается комьпютерныи вирус который обойдя защитные системы автоматический снимает с банковских счетов деньги и переводит на другие специально подготовленные счета.
Система очень проста: вы заходите посредством интернета в свой банковский счет и вводите все правильные коды и пароли но вам высвечивает табличка что произошла ошибка, неправильно набран код или пароль, вы повторно все набираете опять а с вашего счета уже автоматический сняты и переведенйи деньги на другой счет. Т.е. первым набором кодов и паролей вы как бы даете команду о переводе денег, а набирая коды и пароли повторно вы подтверждаете перевод и деньги молниеносно переводится. Причем как отмечают специалисты все делается настолько быстро и автоматический, что ето время просто неподсилу физический человеку заполнить нужные реквизиты по переводу денег, поетому иногда в редких случьях срабатывает защитная система в самих банках.
Как проникает и распостраняется вирус в личные компьютеры пока еще неясно, во всяком он обходит все защитные системы и человек об снятий денег не знает если только сам не обнаружит неясный перевод. Также нету данных чтобы он был нацелен на определенные счета или суммы денег на них, единственно что утешает у нас в Литве меня и других не хранящих крупных сумм, что снятые суммы денег были не менее 10 тысяч литов (3 тысячи евро) и вроде бы на меньшие суммы просто незариться. Куда и кому именно идут деньги данных нету поскольку зафиксировано что деньги проходят через несколько промежуточных счетов. У нас тут задержали одну "мелкую сошку" - человека который подыскивал людей, которые соглашались бы за мзду открыть на свое имя счета якобы для перевода денег заработанных заграницей (а сколько таких ловцов есть? и не только в Литве). Специалисты пока какой либо идеальной защиты от сего вируса предложить не могут, а так набор стандартный не пользоваться зараженным компьютером, обновлять антивирусные программы и т.п.
Я тут в интернете нашел, что пару лет назад в 2012г. что то подобное уже было. Тогда в шведские специалисты обнаружили вирус условно названы "Цитадель" (усовершенствована модель трояна "Зевс"), который с клиентов скандинавских банков похищал данные для подключения через интернет к своему банковскому счету, а потом сам подключался и снимал деньги. Как тогда установили, что данные пересылались на IP адрес в России. Принцип действия - клиент подключается через интернет к своему счету его просят подождать пока идет проверка безопасности подключения и проситься повторно подключится (на данный момент етого уже даже непросят) и считывается деньгу, а клент опять не может подключится к счету.
ФБР вычислило «второго Сноудена» 28.10.2014
ФБР вычислило «второго Сноудена». Согласно информации, которую публикует Yahoo News, американские контрразведчики смогли выяснить, кто именно в начале августа «слил» секретную информацию изданию Intercept. Со ссылкой на неназванный источник Yahoo News сообщает, что сотрудники ФБР уже провели обыск в доме подозреваемого, а прокуратура Северной Вирджинии открыла уголовное дело. При этом высокопоставленные чиновники разведсообщества США опасаются, что дело не дойдет до суда. Как заявил на условиях анонимности один из них, «после недавних разоблачений правосудие не особо охотно занимается подобными случаями».
Подозрения о наличии в рядах спецслужб еще одного человека, выдающего журналистам секретную информацию, появились после того, как 5 августа 2014 года издание Intercept опубликовало закрытый правительственный документ, выпущенный через месяц после бегства Сноудена в Гонконг в мае 2013 года. В сопроводительном тексте сообщалось, что бумага «получена от источника в разведывательном сообществе». Стоит отметить, что одним из соучредителей Intercept является Гленн Гринвальд, журналист The Guardian, первым опубликовавший конфиденциальные документы, предоставленные Сноуденом. Информацию о контактах со «вторым Сноуденом» подтвердил и журналист Джереми Скэхилл: он назвал его «чрезвычайно принципиальным и смелым человеком, идущим на большой риск».
Эдвард Сноуден, бывший сотрудник Агентства национальной безопасности США, приобрел широкую известность летом 2013 года после того, как передал прессе секретные материалы о работе американских спецслужб. Документы, в частности, содержали информацию о незаконной слежке, которую спецслужбы США вели за рядом европейских политиков, а также о сборе данных о пользователях интернета по всему миру. Сейчас Сноуден находится в России, где ему был предоставлен вид на жительство. На родине американцу за разглашение государственной тайны грозит до 30 лет тюрьмы.
По материалам Lenta.ru
СПЕЦСЛУЖБЫ США УСТАНАВЛИВАЮТ «ЖУЧКИ» В ЭКСПОРТИРУЕМЫЕ РОУТЕРЫ И СЕРВЕРЫ [DLMURL]https://hi-tech.mail.ru/news/nsa-spy.html[/DLMURL]
Бывший сотрудник ЦРУ Эдвард Сноуден продолжает разоблачать деятельность американских спецслужб. На сей раз он поделился информацией о том, как АНБ (Агентство национальной безопасности) США следит за интернет-трафиком при помощи сетевого оборудования, экспортируемого из страны. Об этом рассказывает газета Guardian, опираясь на информацию из только что выпущенной книги своего журналиста Глена Гринвальда (построена на разоблачениях сотрудника ЦРУ). В одном из ее разделов описывается установка шпионских «жучков» в сетевое оборудование, экспортируемое из США. Сноуден утверждает, что АНБ имеет доступ к новому, упакованному сетевому оборудованию, предназначенному для отправки за границу. Прямо на таможне сотрудники спецслужб устанавливают на серверы, роутеры и другие сетевые решения свои «жучки», а затем вновь упаковывают оборудование и ставят фирменные пломбы на упаковку, так, что потребитель, получивший товар, не заметит ничего подозрительного. Благодаря этому АНБ получает широкий доступ ко множеству сетей за пределами США.
Журналист отмечает, что, вероятно, собственная практика слежки при помощи сетевого оборудования заставила власти США пару лет назад обвинить в этом же ведущих китайских производителей ZTE и Huawei в сотрудничестве со спецслужбами своих стран. Одним из последствий этого было принципиальное решение Huawei уйти с рынка США, озвученное в конце прошлого года. Напомним, что в свете последних событий на Украине и последовавшей за ними реакции США (речь о санкциях) в России все чаще звучат призывы отказаться от использования зарубежных продуктов — уже разрабатывается национальная платежная система, есть планы по созданию российской операционной системы и даже интернета, а российские смартфоны совсем скоро будут недоступны для проcлушки западными спецслужбами.
Банковский троян Dridex распространяется через макросы Word 28.10.2014
Исследователи из Palo Alto Networks сообщили о том, что банковский троян Dridex изменил метод распространения и теперь осуществляет заражение персональных компьютеров, используя макросы Word. Dridex — последняя версия в линейке банковских троянов Bugat/Feodo/Cridex, она активно используется с июля текущего года. До настоящего времени троян распространялся по электронной почте, но на прошлой неделе организаторы атаки изменили схему, так что теперь они рассылают документы Microsoft Word, содержащие макрос, который скачивает и запускает вредоносную программу .
Как и свои предшественники, Dridex представляет собой типичный банковский троян по образцу Zeus. Его главная функциональность — кража учётных данных для доступа к онлайн-банкингу, так что злоумышленники получают доступ к денежным средствам жертвы и могут перевести их на другой счёт. Dridex использует конфигурационный XML-файл для определения списка сайтов, для которых осуществляется кража учётных данных. Там также перечислены сайты, которые нужно игнорировать. Исследователи говорят, что схема распространения Dridex изменилась 21 октября. Жертвами атаки являются, преимущественно, пользователи из США. В частности, замечено 9 различных документов Word, с которыми распространяется вредоносный макрос. Макросы скачивают файлы по следующим адресам :
Ссылка[.]com/images/1.exe
Ссылка[.]com/common/1.exe
Ссылка не действительна[.]com/js/1.exe
Ссылка не действительна[.]ro/html/js/bin.exe
Ссылка не действительна[.]com/js/bin.exe
Ссылка не действительна[.]ar/images/1.exe
Всё это легитимные веб-сайты, которые, видимо, подверглись взлому.
Защититься от атаки можно с помощью отключения макросов Word. Вообще, данный вектор атаки известен уже около 10 лет, так что макросы Word и так должны быть отключены по умолчанию у большинства пользователей.
По материалам xakep.ru
Эксперты раскрыли подробности о масштабной шпионской операции Darkhotel APT 11.11.2014
Эксперты «Лаборатории Касперского» раскрыли подробности кампании по кибершпионажу Darkhotel APT, жертвами которой в течение нескольких последних лет становятся постояльцы отелей. По данным исследователей, злоумышленники инфицируют сети гостиниц шпионским ПО, которое при подключении к Wi-Fi попадает на устройства, принадлежащие представителям бизнеса.
Зачастую жертвам предлагается установить вредонос под видом обновлений легитимных программ, таких как Adobe Flash, Google Toolbar или Windows Messenger. При этом злоумышленники используют инструменты, детектируемые как Tapaoux, Pioneer, Karba, Nemim и др. Попав на компьютер, вредоносное ПО пытается обнаружить корпоративную информацию и учетные данные, а также загружает другие, боле сложные инструменты, в том числе кейлогеры.
В ходе исследования эксперты ЛК обнаружили, что web-браузеры пользователей в сетях отелей перенаправляются прямиком на исполняемые файлы трояна через внедренный HTML-код. «Злоумышленники аккуратно размещали как внедренный код, так и исполняемые файлы на доверенных ресурсах, а именно прямо на порталах регистрации, принадлежащих гостиничной сети. Стоит отметить, что в настоящее время все вредоносные файлы уже удалены», - сообщают эксперты.
Жертвами Darkhotel зачастую являются руководители крупных компаний преимущественно из Азии и США главным образом в странах Азиатско-Тихоокеанского региона.
По материалам securitylab.ru
В открытый доступ попал миллион паролей от Яндекс.Почты 08.09.2014
Вечером 7 сентября 2014 года в открытый доступ попал текстовый файл с учётными данными миллиона пользователей «Яндекс.Почты». Файл 1000000cl.txt изначально разместили на «Яндекс.Диске», но к настоящему моменту список разошёлся повсеместно по Сети. Проверить свой адрес электронной почты на предмет компрометации можно самостоятельно, скачав файл с паролями. Как менее предпочтительный вариант, есть веб-форма для проверки .
Многочисленные пользователи уже подтвердили аутентичность базы, нашли свои пароли и успешно зашли в чужие почтовые ящики (статья 272 УК РФ). Если чужой ящик не привязан к номеру телефона, то есть возможность указать свой email, активировать тем самым ящик и сменить пароль, не вводя ответов на секретные вопросы.
По примерной оценке, около 65% паролей из базы валидны на эту минуту, остальные аккаунты заблокированы. Скорее всего, утечка стала результатом взлома какого-то веб-сервиса, фишинга или брутфорса. Компания «Яндекс» пока не дала подробных разъяснений по инциденту, но заранее отрицает свою причастность. Пресс-служба «Яндекса» заявила: «Пароли пользователей “Яндекса” надёжно защищены и не хранятся в открытом виде. Поэтому опубликованный список — это не “взлом” и не “утечка” “Яндекса”. Наши специалисты проверяют этот список, и пока нет оснований считать, что среди опубликованных аккаунтов есть те, что принадлежат “живым” пользователям (тем, кто бы заходил на наши сервисы, в “Почту”, и совершал какие-либо действия), или тех, о взломе которых бы мы не знали (такие аккаунты уже давно отправлены на восстановление пароля)». В «Яндексе» добавили, что каждый отдельный пароль мог утечь вследствие заражения компьютера пользователя вирусом, который передаёт персональные данные мошенникам. Также рассматривается вариант фишинга.
Топ-100 паролей в базе «Яндекса»
Сколько раз встречается = Пароль
39177 123456
13892 123456789
982611
7926 qwerty
5853 1234567890
4668 1234567
4606 7777777
4324 123321
3304 000000
3031 123123
2807 666666
2570 12345678
2416 555555
2299 654321
1804 gfhjkm
1500 777777
1482 112233
1432 121212
1431 12345
1385 987654321
1172 159753
1120 qwertyuiop
1109 qazwsx
967 222222
939 1q2w3e
874 0987654321
872 1q2w3e4r
832111
804 123qwe
772 zxcvbnm
762 88888888
724 123654
707 333333
697 131313
690 999999
661 4815162342
639 12344321
633 1qaz2wsx
6151111
609 asdfgh
583 qweasdzxc
578 123123123
574 159357
571 zxcvbn
545 qazwsxedc
533 ghbdtn
524 1234554321
523111111
500 1q2w3e4r5t
465 1029384756
455 qwe123
448 789456123
444 147258369
439 1234qwer
428 135790
426 098765
422 999999999
408 888888
408 12341234
401 12345qwert
395 qweasd
392 987654
391 111222
380 147852369
375 asdfghjkl
375 789456
373 samsung
365 159951
357 101010
355 vfhbyf
353 444444
348 qwerty123
348 nikita
335 qweqwe
331 q1w2e3
328 fyfcnfcbz
325 qwaszx
325 00000000
322 qazxsw
321 010203
319 marina
316 9379992
316 123789
308 zzzzzz
308 qqqqqq
307 11223344
306 dbrnjhbz
303 qwertyu
299 147258
298 12345678910
296 232323
294 yfnfif
292 55555
291 aaaaaa
289 147852
287 fylhtq
284 fktrcfylh
279 1qazxsw2
278 q1w2e3r4
277 7654321
По материалам xakep.ru
Опубликована база данных 5 млн паролей от Gmail 11.09.2014
Вслед за базами данных с паролям от ящиков на Mail.ru и «Яндекс» в Сети появился перечень из почти 5 млн паролей от Gmail, пишет CNews со ссылкой на пользователя форума Bitcoin Seсurity под ником tvskit. По утверждениям последнего, более 60% опубликованных учетных данных, содержащихся в базе, являются активными. Документ содержит список учетных данных, которые можно использовать для авторизации в любом сервисе американского поисковика. В отличие от инцидентов с Mail.ru и «Яндекс», в этот раз пострадали не только русскоязычные пользователи, но и англо- и испаноязычные. Напомним, что в воскресенье, 7 сентября, произошла утечка 1,26 млн паролей от почтового сервиса «Яндекса». Сутки спустя в Сети появилась база данных с 4,66 млн учетных записей Mail.ru. Отметим, что на момент написания новости сайт форума Bitcoin Seсurity был недоступен. Проверить наличие адреса электронной почты можно на следующих ресурсов: • isleaked.com/ (yandex.ru и mail.ru, gmail.com), • yaslit.ru/ (yandex.ru, mail.ru, gmail.com), • yandexexpose.azurewebsites.net.
По материалам securitylab.ru
ПОЯВИЛСЯ НОВЫЙ СТАРЫЙ ВИРУС ПО ПОЖИРАНИЮ ДЕНЕГ
У нас в Литве зафиксированы случая, а также и в других странах, когда через интернет запускается комьпютерныи вирус который обойдя защитные системы автоматический снимает с банковских счетов деньги и переводит на другие специально подготовленные счета.
Система очень проста: вы заходите посредством интернета в свой банковский счет и вводите все правильные коды и пароли но вам высвечивает табличка что произошла ошибка, неправильно набран код или пароль, вы повторно все набираете опять а с вашего счета уже автоматический сняты и переведенйи деньги на другой счет. Т.е. первым набором кодов и паролей вы как бы даете команду о переводе денег, а набирая коды и пароли повторно вы подтверждаете перевод и деньги молниеносно переводится. Причем как отмечают специалисты все делается настолько быстро и автоматический, что ето время просто неподсилу физический человеку заполнить нужные реквизиты по переводу денег, поетому иногда в редких случьях срабатывает защитная система в самих банках.
Как проникает и распостраняется вирус в личные компьютеры пока еще неясно, во всяком он обходит все защитные системы и человек об снятий денег не знает если только сам не обнаружит неясный перевод. Также нету данных чтобы он был нацелен на определенные счета или суммы денег на них, единственно что утешает у нас в Литве меня и других не хранящих крупных сумм, что снятые суммы денег были не менее 10 тысяч литов (3 тысячи евро) и вроде бы на меньшие суммы просто незариться. Куда и кому именно идут деньги данных нету поскольку зафиксировано что деньги проходят через несколько промежуточных счетов. У нас тут задержали одну "мелкую сошку" - человека который подыскивал людей, которые соглашались бы за мзду открыть на свое имя счета якобы для перевода денег заработанных заграницей (а сколько таких ловцов есть? и не только в Литве). Специалисты пока какой либо идеальной защиты от сего вируса предложить не могут, а так набор стандартный не пользоваться зараженным компьютером, обновлять антивирусные программы и т.п.
Я тут в интернете нашел, что пару лет назад в 2012г. что то подобное уже было. Тогда в шведские специалисты обнаружили вирус условно названы "Цитадель" (усовершенствована модель трояна "Зевс"), который с клиентов скандинавских банков похищал данные для подключения через интернет к своему банковскому счету, а потом сам подключался и снимал деньги. Как тогда установили, что данные пересылались на IP адрес в России. Принцип действия - клиент подключается через интернет к своему счету его просят подождать пока идет проверка безопасности подключения и проситься повторно подключится (на данный момент етого уже даже непросят) и считывается деньгу, а клент опять не может подключится к счету.
ФБР вычислило «второго Сноудена» 28.10.2014
ФБР вычислило «второго Сноудена». Согласно информации, которую публикует Yahoo News, американские контрразведчики смогли выяснить, кто именно в начале августа «слил» секретную информацию изданию Intercept. Со ссылкой на неназванный источник Yahoo News сообщает, что сотрудники ФБР уже провели обыск в доме подозреваемого, а прокуратура Северной Вирджинии открыла уголовное дело. При этом высокопоставленные чиновники разведсообщества США опасаются, что дело не дойдет до суда. Как заявил на условиях анонимности один из них, «после недавних разоблачений правосудие не особо охотно занимается подобными случаями».
Подозрения о наличии в рядах спецслужб еще одного человека, выдающего журналистам секретную информацию, появились после того, как 5 августа 2014 года издание Intercept опубликовало закрытый правительственный документ, выпущенный через месяц после бегства Сноудена в Гонконг в мае 2013 года. В сопроводительном тексте сообщалось, что бумага «получена от источника в разведывательном сообществе». Стоит отметить, что одним из соучредителей Intercept является Гленн Гринвальд, журналист The Guardian, первым опубликовавший конфиденциальные документы, предоставленные Сноуденом. Информацию о контактах со «вторым Сноуденом» подтвердил и журналист Джереми Скэхилл: он назвал его «чрезвычайно принципиальным и смелым человеком, идущим на большой риск».
Эдвард Сноуден, бывший сотрудник Агентства национальной безопасности США, приобрел широкую известность летом 2013 года после того, как передал прессе секретные материалы о работе американских спецслужб. Документы, в частности, содержали информацию о незаконной слежке, которую спецслужбы США вели за рядом европейских политиков, а также о сборе данных о пользователях интернета по всему миру. Сейчас Сноуден находится в России, где ему был предоставлен вид на жительство. На родине американцу за разглашение государственной тайны грозит до 30 лет тюрьмы.
По материалам Lenta.ru
СПЕЦСЛУЖБЫ США УСТАНАВЛИВАЮТ «ЖУЧКИ» В ЭКСПОРТИРУЕМЫЕ РОУТЕРЫ И СЕРВЕРЫ [DLMURL]https://hi-tech.mail.ru/news/nsa-spy.html[/DLMURL]
Бывший сотрудник ЦРУ Эдвард Сноуден продолжает разоблачать деятельность американских спецслужб. На сей раз он поделился информацией о том, как АНБ (Агентство национальной безопасности) США следит за интернет-трафиком при помощи сетевого оборудования, экспортируемого из страны. Об этом рассказывает газета Guardian, опираясь на информацию из только что выпущенной книги своего журналиста Глена Гринвальда (построена на разоблачениях сотрудника ЦРУ). В одном из ее разделов описывается установка шпионских «жучков» в сетевое оборудование, экспортируемое из США. Сноуден утверждает, что АНБ имеет доступ к новому, упакованному сетевому оборудованию, предназначенному для отправки за границу. Прямо на таможне сотрудники спецслужб устанавливают на серверы, роутеры и другие сетевые решения свои «жучки», а затем вновь упаковывают оборудование и ставят фирменные пломбы на упаковку, так, что потребитель, получивший товар, не заметит ничего подозрительного. Благодаря этому АНБ получает широкий доступ ко множеству сетей за пределами США.
Журналист отмечает, что, вероятно, собственная практика слежки при помощи сетевого оборудования заставила власти США пару лет назад обвинить в этом же ведущих китайских производителей ZTE и Huawei в сотрудничестве со спецслужбами своих стран. Одним из последствий этого было принципиальное решение Huawei уйти с рынка США, озвученное в конце прошлого года. Напомним, что в свете последних событий на Украине и последовавшей за ними реакции США (речь о санкциях) в России все чаще звучат призывы отказаться от использования зарубежных продуктов — уже разрабатывается национальная платежная система, есть планы по созданию российской операционной системы и даже интернета, а российские смартфоны совсем скоро будут недоступны для проcлушки западными спецслужбами.
