Новостное агентство Reuters заявило о том, что в конце 2018 года «Яндекс» подвергался атаке злоумышленников. Атака заключалась во внедрении редкого типа зловредного ПО, которое позволило следить за учетными записями пользователей сервисов компании. Представители «Яндекса» подтвердили факт попытки взлома.

Как оказалось, злоумышленникам была нужна техническая информация, которая обеспечивает авторизацию пользователей. Если бы взлом удался, то взломщики смогли бы выдавать себя за легальных пользователей сервисов «Яндекса», получая доступ к данным разных людей.

В нескольких последних публикациях нашего блога мы рассказывали об уязвимостях сетей мобильной связи, а также о возможностях прослушки на основе таких уязвимостей. При этом читатели в комментариях не раз выражали сомнение в том, что можно вот так легко попасть во внутреннюю технологическую сеть оператора. Однако свежий пример с троянцем Regin показывает, что это не только возможно, но и делалось систематически уже много лет.

Ирландский новостной ресурс сообщил, что спецслужбы Германии начали расследование новых случаев компрометации компьютеров и средств связи сотрудников канцелярии Ангелы Меркель. Речь идет о новых случаях заражения известным вирусом Regin, о котором стало известно год назад и который считается самым опасным state-sponsored вредоносным ПО на сегодняшний день. Regin представляет из себя изощренную программную платформу для организации кибершпионажа и сбора данных.



После публикации секретных данных АНБ беглым агентом Эдвардом Сноуденом, стали известны подробности о различных программных инструментах шпионажа этой спецслужбы, а также британской разведки GCHQ. Одна из таких вредоносных программ под названием QWERTY обладает программным кодом, идентичным с Regin. Этот факт, наряду с прочими, подтвердил уверенность исследователей, что за Regin может стоять NSA/GCHQ.

Драйверы — неотъемлемая часть операционной системы, но связанные с ними уязвимости часто недооцениваются. Windows очень легко загружает на уровень ядра практически любые драйверы: подписанные/неподписанные, старые/новые. Если вредоносный код распространяется таким образом, то его трудно обнаружить.

Старые 32-битные драйверы обычно шли без цифровой подписи. Но даже введение обязательной подписи не решило проблему полностью. Во-первых, злоумышленники могут использовать украденные сертификаты. Во-вторых, они используют для своих целей официально сертифицированные драйверы от доверенных издателей: Lenovo, ASRock, Asustek, Dell и др. Такие «троянские» драйверы присутствуют на многих компьютерах, но антивирусы не считают их угрозой.