Обвинённые Минюстом США российские разведчики скрывались за платежами в биткоинах, но их это не спасло

На чём прокололись хакеры из ГРУ, которых обвинили в попытке повлиять на выборы в США.

13 июля Минюст США предъявил официальные обвинения 12 сотрудникам Главного разведывательного управления Генштаба РФ (ГРУ) по делу о вмешательстве в выборы президента США в 2016 году. Главное, что обсуждалось по следам опубликованного документа с обвинением — упоминания о том, как российские разведчики сохраняли свою анонимность при помощи платежей с использованием наиболее популярной криптовалюты, биткоина.

Чтобы скрыть их связь с Россией и российским правительством, Заговорщики (так называют группу в документе — прим. TJ) использовали поддельные личности и изготавливали поддельные документы для своих личностей. Чтобы избежать дальнейшего обнаружения, Заговорщики использовали сеть компьютеров по всему миру, включая США, и платили за эту инфраструктуру при помощи криптовалюты.

Группа разведчиков прибегала к разным мерам безопасности, чтобы избежать обнаружения. После того, как они через фишинговое письмо получили доступ к компьютеру сотрудника Демократической партии США, они установили на него программу для слежки и снятия скриншотов экрана и пересылали на арендованный сервер в Аризоне — но позднее стали использовать прокси-сервер за рубежом, чтобы скрыть связь между взломанным компьютером и своим сервером. Для публикации украденных документов Демпартии разведчики зарегистрировали домен dcleaks.com (изначально они пытались зарегистрировать electionleaks.com, но почему-то отказались от этой идеи) через румынский сервис, который позволяет скрыть личность владельца домена.

Далее...

Эксперты обнаружили программу, позволяющую писать сообщения в Telegram через чужие учётные записи

Она использует слабые настройки безопасности, которые по умолчанию выставлены в настольной версии мессенджера.

Специалисты исследовательской организации Cisco Talos Intelligence обнаружили вредоносную программу, которая крадёт кэш-файлы и ключи шифрования из настольного клиента Telegram. Представители Talos заявили, что это позволяет вирусу получать доступ к их контактам и перепискам.

По словам экспертов по безопасности, своих жертв программа почти всегда выбирает среди русскоговорящих пользователей. При этом в её коде есть ограничения по атаке учётных записей, доступ к которым осуществляется через анонимайзеры с IP-адресами из России.

Обнаруженный код не эксплаутирует уязвимости Telegram и взламывает его. Он использует отсутствие секретных чатов в настольной версии: благодаря этой особенности, не являющейся багом, в ПК-версии Telegram по умолчанию отключено автоматическое завершение сессии. При этом ручное завершение сессии по сути обновляет ключ шифрования и закрывает доступ к файлам.

Представители Talos допустили, что создатели вредоносной программы могут иметь инструменты для расшифровки кэш-файлов мессенджера. Они добавили, что членам организации до последнего времени не были известны какие-либо утилиты для доступа к содержимому подобных файлов.

В Talos оценили опасность программы как «незначительную», особенно в сравнении с сетями ботов, используемых киберпреступниками. В то же время, организация призвала разработчиков зашифрованных мессенджеров обратить внимание на этот случай: «Неясно объяснённые функции или плохие стандартные настройки могут поставить под угрозу частные данные».

Далее...


Авторы