Как русские хакеры взломали украинскую видеоигру


Утечки происходят в интернете. Так же и взломы. Когда в наши дни две страны воюют друг с другом, кибератак обычно становится все больше. Тем не менее, утечки остаются утечками, и если к ним подойти правильно, они не будут иметь большого значения. Или они могут стать способом получения большей поддержки со стороны клиентов или фан-базы.
Давайте поговорим о том, как российская хакерская группа взломала системы украинского разработчика GSC Game World, студии, создавшей серию видеоигр Stalker



11 марта на российской фан-странице серии Stalker появился пост, в котором говорилось, что взломали Stalker 2, находящуюся в разработке, и начали угрожать украинским разработчикам игры. Эти разработчики теперь ответили и, по сути, сказали им идти к черту.
Пост и взлом, по-видимому, являются ответом на решение разработчиков GSC Game World не локализовать грядущий шутер для российского рынка, а также на то, как российские члены сообщества серии обращаются с российскими членами сообщества после последнего вторжения их страны в Украину. Хакеры просят GSC «пересмотреть свое отношение к игрокам из Беларуси и России» и «принести извинения за недостойное отношение к обычным игрокам из этих стран».
Касаемо отсутствия русской локализации пишут «Фанаты ждут от вашей официальной компании. Не надо портить людям игру из-за политики».
По словам хакерской группы, если их запросы не будут удовлетворены, они выпустят тонну украденных данных. Это включает в себя иллюстрации, детали, изображения и все виды другого контента для невыпущенной игры Stalker 2, выпуск которой намечен на конец этого года.



Как вы можете себе представить, это никогда не бывает веселой ситуацией для создателей контента. Весь этот контент может влиять на завершенную игру на том или ином уровне, но он почти наверняка не полностью отражает то, чем будет законченная игра. Вы можете себе представить, что GSC очень разозлилась из-за того, что это произошло, и очень обеспокоена впечатлением, которое выпущенный контент может оставить у будущих покупателей игры. Многие студии в таких случаях вели переговоры с хакерами, чтобы контент не был опубликован.
Или, если вы GSC, вы говорите что-то вроде: "Русские хакеры, идите к черту". Нижеследующее взято из заявления, опубликованного GSC:Итак, GSC решает, что утечки не так страшны, по крайней мере, не настолько, чтобы сдаться.

Microsoft назвала хакерскую группировку, которая следующей атакует Украину


"Российские хакеры, по-видимому, готовят новую волну кибератак против Украины, в том числе угрозу "по типу программ-вымогателей" для организаций, обслуживающих украинские линии снабжения", — говорится в исследовательском отчете Microsoft
Что произошло
В отчете, подготовленном группой по исследованиям и анализу кибербезопасности Microsoft, излагается ряд новых фактов о том, как российские хакеры действуют во время конфликта на Украине и что может произойти дальше.

«С января 2023 года Microsoft наблюдает, как российские киберугрозы приспосабливаются к усилению деструктивных и разведывательных возможностей в отношении гражданских и военных активов Украины и ее союзников», — говорится в отчете. Специалисты считают, что одна известная пророссийская группировка «кажется, готовится к новой разрушительной кампании».

Посольство России в Вашингтоне не сразу ответило на запрос о комментарии. Эксперты говорят, что тактика сочетания физических военных операций с киберметодами отражает предыдущую деятельность России.

«Сочетание кибератак с попытками нарушить или лишить обороняющихся возможности координировать действия и использовать киберзависимые технологии — не новый стратегический подход», — сказала Эмма Шредер, заместитель директора инициативы Cyber Statecraft Атлантического совета.


Microsoft обнаружила, что особенно опытная российская хакерская группа, известная в сообществе исследователей кибербезопасности как Sandworm (она же Telebots, BlackEnergy, Voodoo Bear), тестировала «дополнительные возможности в стиле программ-вымогателей, которые можно было бы использовать для разрушительных атак на организации за пределами Украины, которые выполняют ключевые функции в линиях снабжения Украины».

Что касается данной группировки, их называют «правительственными» хакерами. Sandworm стоит за длившейся три года операцией, в результате которой был взломан ряд французских организаций, использующих мониторинговое ПО Centreon.

Атака программ-вымогателей обычно связана с проникновением хакеров в организацию, шифрованием их данных и вымогательством платы за восстановление доступа. Исторически программы-вымогатели также использовались в качестве прикрытия для более злонамеренной киберактивности, включая так называемые вайперы, которые просто уничтожают данные.



С января 2022 года Microsoft заявила, что обнаружила как минимум девять различных вайперов и два типа вариантов программ-вымогателей, которые использовались против более чем 100 украинских организаций.

Согласно отчету, эти события сопровождаются ростом более скрытных российских киберопераций, направленных на прямую компрометацию организаций в странах, являющихся союзниками Украины.

«В странах Америки и Европы, особенно в соседних с Украиной странах, российские злоумышленники пытались получить доступ к правительственным и коммерческим организациям, участвующим в усилиях по поддержке Украины», — сказал Клинт Уоттс, генеральный менеджер Центра анализа цифровых угроз Microsoft.


С каждым днем заявлений о том, что российские хакеры готовятся к атаке на Украину становится больше. Данный отчет Microsoft говорит о том, что внимание властей сейчас приковано к киберпреступникам.

Команда BlackMast следит за развитием ситуации. Судя по усилению напряжения, совсем скоро мы узнаем о новой кибератаке от русских хакеров.

Как хакеры Winter Vivern крадут письма НАТО

Российские хакеры нашли необычный способ слежки за военной техникой



Российские хакеры подключались к частным камерам наблюдения в украинских кофейнях, чтобы собирать информацию о проходящих колоннах с гуманитарной помощью, заявил во вторник высокопоставленный сотрудник службы безопасности США.



Роб Джойс, директор по кибербезопасности Агентства национальной безопасности, заявил, что российское правительство и хакеры, поддерживаемые правительством, продолжают атаковать украинские системы информационных технологий в рамках своего вторжения в страну.

По его словам, одним из направлений являются камеры видеонаблюдения, используемые местными властями и частными предприятиями для наблюдения за своим окружением.

«Продолжаются атаки на украинские интересы, будь то финансовые, правительственные, личные, частные предприятия», — сказал Джойс в Центре международных и стратегических исследований в Вашингтоне.

«Мы наблюдаем, как российские хакеры подключаются к общедоступным веб-камерам, чтобы наблюдать за колоннами и поездами, доставляющими помощь», — сказал Роб Джойс.


Чиновник АНБ назвал некоторых российских хакеров «креативными», комментируя их способ добывания информации.

«Они действуют креативно. Мы наблюдаем, как российские хакеры подключаются к показывающим посетителей веб-камерам, чтобы следить за колоннами и поездами, доставляющими помощь <...>, а вместо того, чтобы пользоваться камерами на городских площадях, они выискивают камеры слежения в кафе, чтобы видеть нужную им дорогу», — сказал он.


По его словам, русские также сосредоточили свои усилия по взлому американских оборонных производителей и логистических транспортных компаний, чтобы узнать больше о цепочке поставок оружия в Украину.

«Они испытывают ежедневное давление со стороны россиян», — сказал Роб Джойс.



Судя по недавним новостям, российские хакеры все ближе подходят ко взлому американских оборонных производителей и логистических транспортных компаний. Не исключено, что в скором времени у взломщиков появится гораздо больше информации.

Команда BlackMast внимательно следит за развитием событий и каждую неделю рассказывает о самых интересных взломах и кибератаках со стороны российских хакеров.

Вынесен приговор россиянину, который отмывал деньги для вымогателя Ryuk

Великобритания заявила, что российские хакеры нацелены на атаку ключевой инфраструктуры


Министр Оливер Дауден заявил, что угроза исходит от хакеров, поддерживающих Россию, хотя и не обязательно направляемых российским государством. Он описал их как кибер аналог группы Вагнера, частной российской компании с наемниками, воюющими в Украине.

Российские хакеры стремятся «нарушить или уничтожить» критически важную инфраструктуру Британии, и для того, чтобы их остановить, делается недостаточно, заявили в прошлую среду правительственные чиновники Великобритании.

Британский национальный центр кибербезопасности выпустил официальное уведомление об угрозах для операторов британских систем электроснабжения, водоснабжения и других важных систем. В уведомлении центр кибербезопасности советует усилить защиту.



«Я не думаю, что мы делаем достаточно, чтобы защитить нашу инфраструктуру от киберугроз, исходящих от пророссийских группировок», — заявила глава центра Линди Кэмерон.

Министр Оливер Дауден заявил, что угроза исходит от хакеров, поддерживающих Россию, хотя и не обязательно направляемых российским государством. Он описал их как кибер аналог группы Вагнера, частной российской компании с наемниками, воюющими в Украине.

Он сказал, что, хотя у предполагаемых хакеров в настоящее время нет возможности нанести масштабный ущерб британским системам, угроза растет.

«Раскрытие этой угрозы — это то, на чем мы серьезно сконцентрированы», но оповещение важных систем страны необходимо, чтобы «компании понимали текущий риск, с которым они сталкиваются, и принимали меры для защиты себя и страны», — сказал Доуден на конференции по кибербезопасности в Белфасте.



Из данных заявлений очевидно, что Великобритания осознает серьезность последствий взломов ключевых систем страны.

«Эти компании отвечают за то, чтобы наша страна работала. За то, чтобы свет оставался включенным», — сказал он. «Наше общее процветание зависит от того, насколько серьезно они относятся к собственной безопасности».


На этом фоне русские хакеры KillNET анонсировали масштабную атаку на киберинфраструктуру НАТО. Команда BlackMast внимательно следит за развитием кибератаки и уже в следующем выпуске подробно осветит эту тему.

Российские хакеры взламывают оборудование Cisco


Власти США, Великобритании, а также эксперты компании Cisco предупредили о том, что российские «правительственные» хакеры из группировки APT28 (она же Fancy Bear, STRONTIUM, Sednit и Sofacy) взламывают их устройства. Хакеры внедряют специальную малварь, Jaguar Tooth, в Cisco IOS на маршрутизаторах компании, что позволяет им получать доступ к устройствами без аутентификации.
В этой статье разберемся, как происходит взлом и какую опасность он несет.



18 апреля британский Национальный центр кибербезопасности (NCSC), Агентство США по кибербезопасности и безопасности инфраструктуры (CISA), АНБ и ФБР опубликовали отчет, где сообщили, что хакерская группировка APT28 использует уязвимость для разведки и развертывания вредоносных программ на маршрутизаторах Cisco.



Cisco Systems, «Сиско Системз» — американская транснациональная компания, разрабатывающая и продающая сетевое оборудование, предназначенное в основном для крупных организаций и телекоммуникационных предприятий. Также разрабатывает программное обеспечение в сфере информационной безопасности.
Взламывая устройства Cisco, хакеры получают доступ к следующим функциям маршрутизаторов:

• показать текущую конфигурацию;
• показать версию;
• показать бриф интерфейса ip;
• показать arp;
• показать соседей cdp;
• показать старт;
• показать IP-маршрут;
• показать флеш.

Малварь под названием Jaguar Tooth внедряется непосредственно в память маршрутизаторов Cisco со старыми версиями прошивки, используя для этого SNMP. После установки малварь извлекает информацию из маршрутизатора и обеспечивает своим операторам неавторизованный бэкдор-доступ к устройству.
Взлом не несет в себе сенсационный характер, это обычная ошибка удаленного выполнения кода без аутентификации, для которой давно существует общедоступный эксплоит. Однако на многих устройствах Cisco стоят древние прошивки, неспособные защитить маршрутизатор.
Получив доступ к маршрутизатору Cisco, злоумышленники «патчат» его память, чтобы установить кастомную непостоянную малварь Jaguar Tooth. Как объясняют в NCSC, это дает хакерам доступ к существующим локальным учетным записям без проверки пароля (при подключении через Telnet или физический сеанс).

Известно, что APT28 получает доступ к уязвимым маршрутизаторам, используя стандартные и слабые строки сообщества SNMP, а также используя CVE-2017-6742. В своем отчете Cisco напоминает администраторам о необходимости своевременного обновления маршрутизаторов до последней версии прошивки.
Команда BlackMast продолжает следить за новыми взломами от русских хакеров. Уже на следующей неделе узнаем, как работает новый вирус-вымогатор или нашумевшая DDoS-атака.

ФБР уничтожило самое опасное ПО русских хакеров May 24, 2023

Русские хакеры украли данные 237 000 государственных служащих США




Утечка коснулась систем обработки льгот на проезд TRANServe, которые возмещают государственным служащим некоторые расходы на поездки. Неясно, использовалась ли какая-либо личная информация в преступных целях.

В этой статье узнаем подробнее о деталях взлома.
Личная информация 237 000 нынешних и бывших служащих федерального правительства была раскрыта в результате утечки данных в Департаменте транспорта США (USDOT).

Министерство транспорта США уведомило Конгресс в электронном письме, что его первоначальное расследование утечки данных «изолировало утечку в определенных системах в отделе, используемом для административных функций, таких как обработка льгот для сотрудников».

Департамент расследует нарушение и заморозил доступ к системе льгот на проезд до тех пор, пока она не будет защищена и восстановлена, говорится в сообщении.



Максимальное пособие составляет 280 долларов в месяц на оплату проезда на общественном транспорте федеральных служащих. Утечка затронула 114 000 нынешних сотрудников и 123 000 бывших сотрудников.

Правительственный источники сообщают, что во взломе обвиняются пророссийские хакеры. Пока ни одна группировка не взяла на себя ответственность за утечку, однако, сообщается, что правительство уже обозначило круг подозреваемых.


Государственные служащие и ранее подвергались взломам. Две утечки в Министерстве по управлению персоналом США (OPM) в 2014 и 2015 годах скомпрометировали конфиденциальные данные, принадлежащие более чем 22 миллионам человек, включая 4,2 миллиона нынешних и федеральных служащих, а также данные отпечатков пальцев 5,6 миллиона из этих лиц.

Подозреваемые российские хакеры, которые использовали программное обеспечение SolarWinds и Microsoft для проникновения в федеральные агентства США, взламывали незасекреченные сети Министерства юстиции и читали электронные письма в министерствах финансов, торговли и внутренней безопасности. По сообщению журналистов в 2021 году, были взломаны девять федеральных агентств.

Как хакеры пошли по магазинам и слили клиентские данные ритейлеров







Хакер, который опубликовал ранее данные клиентов сервисов «Сбера», снова отличился. На этот раз в сеть попали клиентские базы гипермаркетов «Ашан» и «Твой дом», а также сети Gloria Jeans, содержащие имена, номера телефонов и адреса доставки товаров. В этой статье подробно разберем данный взлом.
ИБ-специалисты Data Leakage & Breach Intelligence (DLBI) сообщили, что в сети опубликованы базы данных с информацией о клиентах торговых сетей «Ашан» и «Твой Дом». В открытый доступ попали данные 7,8 млн клиентов «Ашана» и около 700 000 клиентов гипермаркетов «Твой Дом». Вероятнее всего, хакер попал в системы сервисов в мае этого года.



Данные «Ашана» представлены в текстовых файлах, содержащих 7 840 297 строк, среди которых:

• имя/фамилия;
• телефон (7,7 млн уникальных номеров);
• email-адрес (4,7 млн уникальных адресов);
• адрес доставки или самовывоза (777 000 адресов);
• дата создания и обновления записи (с 13 апреля 2020 по 18 май 2023).

Данные «Твой Дом» опубликованы в виде дампа таблицы пользователей из CMS Bitrix. Суммарно утечка насчитывает 713 365 строк, включая:

• имя/фамилию;
• телефон (618 300 уникальных номеров);
• email-адрес (389 500 уникальных адресов);
• хешированный (с солью) пароль;
• пол (не для всех);
• дата рождения (не для всех);
• дата создания и обновления записи (с 21 января 2019 по 18 мая 2023).

Этот слив связывает с тем же хакером, что слил в сеть клиентские данные «СберСпасибо», «СберПрава», «СберЛогистики», GeekBrains и так далее.Хакер угрожает, что в дальнейшем сольет базы данных 12 крупных компаний, пока известно о девяти жертвах. Никакие требования или информацию о выкупе хакер не сообщает.




В DLBI полагают, что источником утечки данных «Твой дом» могла стать система «1C-Битрикс» — как через уязвимость, так и через получение доступа к резервной копии сервера базы данных или ему самому. По данным сайта «1С-Битрикс», гипермаркет «Твой дом» есть в числе компаний, создавших корпоративный сайт на платформе.
Возможно, для Ашана точка входа была иной, так как слив выложен в другом формате.

Торговая сеть «Ашан» уже подтвердила сведения об утечке данных своих клиентов. В компании проводят внутреннее расследование.В компании добавили, что предпринимают все необходимые меры для усиления средств защиты информационных систем компании и защиты данных клиентов.

Русские хакеры вводят санкции против ЕС

Российские хакеры «Tomiris» собирают разведданные с Центральной Азии



Как показывают свежие данные «Лаборатории Касперского», русскоязычный злоумышленник, скрывающийся за бэкдором, известным как «Tomiris», в первую очередь занимается сбором разведывательных данных в Центральной Азии. В этой статье узнаем больше о взломе и его последствиях.
Ответ специалистов по безопасности

«Целью Томириса постоянно оказывается регулярная кража внутренних документов», — заявили исследователи безопасности Пьер Дельшер и Иван Квятковски в опубликованном сегодня анализе. «Угроза нацелена на правительственные и дипломатические учреждения в СНГ».
Что известно о Tomiris

Впервые Tomiris стала известна в сентябре 2021 года, когда «Лаборатория Касперского» указала на ее потенциальную связь с Nobelium (также известной как APT29, Cozy Bear или Midnight Blizzard), пророссийской хакерской группировкой, стоящей за атакой на цепочку поставок SolarWinds.
Также были обнаружены сходства между бэкдором и другим штаммом вредоносного ПО под названием Kazuar, который приписывается группе Turla (также известной как Krypton, Secret Blizzard, Venomous Bear или Uroburos).




Как происходит атака

В атаках целевого фишинга, организованных группой, использовался «набор инструментов полиглота», состоящий из множества несложных «сжигающих» имплантатов, которые закодированы на разных языках программирования и неоднократно развертывались против одних и тех же целей.





Помимо использования открытых или коммерчески доступных наступательных инструментов, таких как RATel и Warzone RAT (также известная как Ave Maria), собственный арсенал вредоносных программ, используемый группой: загрузчики, бэкдоры и похитители информации.

• Telemiris — бэкдор Python, использующий Telegram в качестве канала управления и контроля (C2).
• Roopy — похититель файлов на основе Pascal, предназначенный для поиска интересующих файлов каждые 40–80 минут и их эксфильтрации на удаленный сервер.
• JLORAT — похититель файлов, написанный на Rust, который собирает системную информацию, выполняет команды, выдаваемые сервером C2, загружает и скачивает файлы и делает снимки экрана.

Что еще удалось узнать

Расследование атак, проведенное «Лабораторией Касперского», также выявило совпадения с кластером Turla, отслеживаемым компанией Mandiant, принадлежащей Google, под именем UNC4210, и обнаружило, что имплантат QUIETCANARY (также известный как TunnusSched) был развернут против правительственной цели в СНГ с помощью Telemiris.
«Точнее, 13 сентября 2022 года, около 05:40 UTC, оператор попытался развернуть через Telemiris несколько известных имплантов Tomiris: сначала загрузчик Python Meterpreter, затем JLORAT и Roopy», — пояснили исследователи.
«Эти планы были сорваны продуктами безопасности, которые заставили злоумышленника предпринять повторные попытки из разных мест файловой системы. Все эти попытки закончились неудачей. После часовой паузы оператор снова попытался в 07:19 UTC с использованием образца TunnusSched/QUIETCANARY. Образец TunnusSched также был заблокирован».
Связь Tomiris и TurlaТем не менее, несмотря на потенциальные связи между двумя группами, говорят, что Tomiris действуют отдельно от Turla из-за различий в их целях и способах торговли.
С другой стороны, также весьма вероятно, что Turla и Tomiris сотрудничают в отдельных операциях или что обе группировки работают с одним поставщиком программного обеспечения, о чем свидетельствует использование российскими военными разведывательными службами инструментов, предоставленных московским ИТ-подрядчиком NTC. Вулкан.

Российские хакеры продолжают атаки на Швейцарию