HTTPS — уже не синоним безопасности: «Лаборатория Касперского» обнаружила инструмент для вмешательства в процесс шифрования
«Лаборатория Касперского» обнаружила вредоносный инструмент Reductor, который позволяет подменять генератор случайных чисел, использующийся для шифрования данных на этапе их передачи от браузера к HTTPS-сайтам.
Это открывает перед злоумышленниками возможность втайне от пользователя следить за его действиями в браузере. Кроме того, найденные модули имели в своём составе функции удалённого администрирования, что делает возможности этого ПО почти неограниченными.
С помощью данного инструмента злоумышленники осуществляли операции кибершпионажа за дипломатическими представительствами в странах СНГ, преимущественно следили за трафиком пользователей.
Установка зловреда происходит в основном либо с помощью вредоносной программы COMPfun, идентифицированной ранее как инструмент кибергруппировки Turla, либо через подмену «чистого» ПО в процессе скачивания с легитимного ресурса на компьютер пользователя. Это, скорее всего, означает, что у злоумышленников есть контроль над сетевым каналом жертвы.
«Мы впервые столкнулись с такого рода вредоносной программой, позволяющей обойти шифрование в браузере и долгое время оставаться незамеченной. Уровень её сложности позволяет предположить, что создатели Reductor — серьёзные профессионалы. Часто подобные зловреды создаются при поддержке государства. Однако мы не располагаем доказательствами того, что Reductor имеет отношение к какой-либо конкретной кибергруппировке. Мы напоминаем всем компаниям, имеющим дело с конфиденциальными данными, о необходимости регулярно проверять степень защищённости корпоративной IT-инфраструктуры», — говорит Курт Баумгартнер, ведущий антивирусный эксперт «Лаборатории Касперского».
Все решения «Лаборатории Касперского» успешно распознают и блокируют программу Reductor.
Чтобы избежать заражения, «Лаборатория Касперского» рекомендует:
- регулярно проводить аудит безопасности корпоративной IT-инфраструктуры;
- установить надёжное защитное решение с компонентом защиты от веб-угроз, позволяющим распознавать и блокировать угрозы, которые пытаются проникать в систему через зашифрованные каналы, например Kaspersky Security для бизнеса, а также решение корпоративного уровня, детектирующее сложные угрозы на сетевом уровне на ранней стадии, например Kaspersky Anti Targeted Attack Platform;
- подключить SOC-команду к системе информирования об угрозах, чтобы у неё был доступ к информации о новых и существующих угрозах, техниках и тактиках, используемых злоумышленниками;
- регулярно проводить тренинги по повышению цифровой грамотности сотрудников.
Больше информации можно найти по ссылке: https://securelist.com/compfun-successor-reductor/93633/.
HTTPS — уже не синоним безопасности: «Лаборатория Касперского» обнаружила инструмент для вмешательства в процесс шифрования
Kaspersky
Похожие статьи Пресс-релизы
Обновление Kaspersky Security для почтовых серверов: добавлены продвинутая фильтрация контента и визуализация событий
Новая версия предоставляет более продвинутые возможности фильтрации контента, визуализации событий для SOC (центров мониторинга ИБ), а также анализа писем, помещённых на карантинЧитать далее >«Лаборатория Касперского» подписала меморандум о взаимопонимании с государственным департаментом Дубая
Меморандум о взаимопонимании в сфере кибербезопасности с управлением электроэнергетики и водоснабжения Дубая был подписан в рамках Kaspersky Cyber Immunity Conference 2024Читать далее >«Лаборатория Касперского» и «АйТи Бастион» успешно интегрировали решения по протоколу ICAP
«Лаборатория Касперского» и «АйТи Бастион» завершили испытания по интеграции продуктов Kaspersky Scan Engine и Синоникс по протоколу ICAP, что позволяет обеспечить безопасную передачу данных внутри сетевой инфраструктуры от одной стороны к другойЧитать далее >