Исследователи из команды Unit 42 Paloaltonetworks обнаружили новый вариант вредоносного ПО PingPull, используемого APT Alloy Taurus, предназначенного для атак на системы Linux.

Отслеживая инфраструктуру, используемую злоумышленником для этого варианта PingPull, исследователи также вышли и на другой бэкдор, который отслеживается как Sword2033.

Первые образцы вредоносного ПО PingPull были найдены еще в сентябре 2021 года, а затем встречались в рамках нескольких последующих кампаний, позволивших приписать использование этого инструмента Alloy Taurus.

Действующая по крайней мере с 2012 годакитайская АРТ обнаружили новый (также известная как GALLIUM, Softcell) которая регулярно проводит кампании кибершпионажа и исторически нацеливается на телекоммуникационные компании в Азии, Европе и Африке.

В последние годы расширила свою целевую аудиторию, включив в нее финансовые учреждения и государственные структуры.

Первый образец PingPull для Linux был загружен на VirusTotal 7 марта 2023 года (детектировался 3 из 62 поставщиков), сходство с Windows-вариантом основано на соответствии структуры связи HTTP, параметров POST, ключа AES и команд C2.

Sword2033 - это простой бэкдор с поддержкой небольшого числа основных функций. Один из наблюдаемых образцов был замечен в июле 2022 года.

Результаты анализа домена C2 (yrhsywu2009.zapto[.]org), обнаруженного в PingPull Linux и Sword2033, позволили выявить IoC, указывающими на деятельность Alloy Taurus.

Таким образом, Alloy Taurus продолжает оставаться активной угрозой для телеком, финансовых и правительственных организаций в Юго-Восточной Азии, Европе и Африке.

Идентификация вредоносного ПО PingPull для Linux, а также недавнее использование Sword2033 позволяют предположить, что АРТ развивает потенциал свои операции в поддержку своей шпионской деятельности.

С праздником трудящихся!

Ресерчеры из французской технологической компании Thales впервые в истории продемонстрировали успешный взлом испытательного орбитального наноспутника Европейского космического агентства (ЕКА).

Специально приглашенной группе из четырех специалистов Thales удалось обнаружить уязвимости, которые потенциально могут позволить злоумышленникам вмешаться в работу спутника, используя при этом стандартные права доступа.

Демонстрация атаки проводилась на тестовом стенде, созданном ЕКА в рамках конференции CYSAT, одного из крупнейших в мире мероприятий по кибербезопасности в космической отрасли, которое состоялось в Париже на прошлой неделе.

Главная цель теста - моделирование и оценка киберугроз, разработка мер обнаружения и противодействия атакам.

Команда Thales смогла получить полный контроль над спутником, обеспечив доступ к бортовой системе, которая используется для управления системой глобального позиционирования, ориентации и бортовой камерой.

В совокупности это привело к возможности компрометации данных, отправляемых на наземную инфраструктуру, в частности, путем модификации изображений или маскировки определенных географических областей на спутниковых снимках, избегая при этом обнаружения ЕКА.

По данным CYSAT, ситуация еще более осложняется огромным действующим флотом устаревающих спутников, которые уязвимы для хакеров и обладают огромными возможностями кибератак.

Ведь спутники исторически разрабатывались как надежные, а не безопасные.

Теперь получается, что широко разрекламированная в кинематографе опция дайте мне картинку со спутника доступна не только спецслужбам.