SLаVS

Исследователи обнаружили масштабную спам-инфраструктуру, способную отправлять более миллиарда сообщений в день. Эксперты заявили, что вскрыть целую спам-империю, «являющуюся серьезной угрозой для безопасности и приватности», помогла плохо сконфигурированная система удаленного резервного копирования. Анализ бэкапа выявил данные, принадлежащие американской компании River City Media. Последовавшее за этим расследование, организованное центрами исследования безопасности MacKeeper Security Research Center и The Spamhaus Project, раскрыло некоторые подробности того, как компания и сеть аффилированных с ней предприятий организовывали массовые спам-кампании с использованием нелегальных техник. «У нас было ощущение, что данная компания занимается рассылкой спама. Но мы были шокированы масштабами операций и количеством игроков, вовлеченных в незаконную деятельность», — заявил Крис Викери (Chris Vickery), ИБ-исследователь в MacKeeper. Самым тревожным открытием исследователей стала база рассылки, состоящая из 1,4 млрд контактов, включающих реальные имена, email-адреса и IP-адреса. «Обычно, чтобы получить настолько детальную информацию о чьем-либо электронном адресе, даже полиции требуются особые разрешения, — сказал Викери. — Но исследуемая компания использовала все возможные и невозможные способы, чтобы собрать качественную базу». По словам экспертов, в большинстве случаев получателей спама обманным путем заставляли подписываться на различные спам-рассылки. «Более осведомленные пользователи не склонны подписываться на массовые рекламные рассылки столько раз, — пишет MacKeeper в своем блоге. — Наиболее вероятный в этом случае сценарий — комбинация нескольких техник. Одна из них называется «совместная регистрация». Когда вы нажимаете кнопку «Отправить» или «Согласен» рядом с мелким текстом на сайте, вы можете по незнанию согласиться предоставлять свои данные аффилированным с этим сайтом ресурсам». Также, как выяснили исследователи, River City Media использовала скрипты, эксплуатирующие уязвимости в мейл-серверах Hotmail и Gmail. Одна из спорных техник скриптинга, используемая в спам-кампаниях, называется «разогрев». Эта техника использует десятки тысяч email-аккаунтов на Gmail, AOL, Hotmail и Yahoo, зарегистрированных River City Media. Компания использует «разогревающие» аккаунты для рассылки спама с одного из 100 тыс. подконтрольных доменов. Тестовые сообщения призваны проверить, что домены и IP-адреса не были заблокированы, а почта, рассылаемая с этих доменов, не определяется как спам. Исследователи также выявили, что компания занималась «нелегальным взломом, о чем свидетельствуют скрипты и логи, ассоциируемые с многочисленными попытками зондирования и эксплуатации уязвимых мейл-серверов». Одно из подобных доказательств — чат, в котором сотрудники River City Media подтверждают попытки эксплуатации одного из email-серверов Google. «Не мне решать, что законно, а что нет, — сказал Викери. — Но есть множество переписок, где участники кампаний обсуждают использование нелегальных скриптов, попытки атак на мейл-сервера и другие действия в отношении мейл-серверов, которые можно считать противозаконными». По словам представителей Spamhaus, результатом этого расследования должна стать блокировка всех IP-адресов и других элементов инфраструктуры, замешанных в рассылке спама. Резервные копии спам-оператора раскрыли все — от чатов Hipchat и сведений о регистрации домена до бухгалтерских сведений, записей об устройстве инфраструктуры, скриптов и бизнес-партнерств. По словам Викери, компания не была взломана — скорее она пострадала от утечки данных, в которой виновата сама. Исследователи подтвердили связь River City Media более чем с 20 бизнес-партнерами, использующими 30 общих электронных адресов. На уровне River City Media за столь масштабные кампании отвечали не более 12 человек. В открытом доступе оказались резервные копии компании с декабря 2016-го по январь 2017 года. «С октября 2016 года по январь 2017-го River City Media заработала $937 451,21 на кампаниях, проведенных с рядом аффилированных сетей, включая AdDemand, W4, AD1 Media (Flex) и Union Square Media. Логи спам-кампаний показывают, что отношения с некоторыми партнерскими компаниями ведут свою историю с июля 2015 года», — пишут в CSOOnline. В рамках расследования эксперты уведомили правоохранительные органы о своей находке. На момент написания статьи представители River City Media не ответили на запрос комментария.

Ресурс WikiLeaks опубликовал первую серию документов, полученных из закрытой сети ЦРУ. Всего опубликован 8761 файл. Информация в основном описывает различные инструменты и техники проведения атак, применяемые в ЦРУ. Особый интерес представляет описание метода доступа к сообщениям, отправленным через мобильные приложения WhatsApp, Signal, Telegram, Weibo, Confide и Cloackman. Для получения контроля за сообщениями в ЦРУ не пытаются перехватывать транзитный трафик и дешифровывать сообщения. Вместо этого осуществляется атака непосредственно на смартфон, пользуясь неисправленными уязвимостями в iOS и Android. После атаки на телефон владельца, которого нужно контролировать, устанавливается руткит, который записывает звук и перехватывает сообщения во время ввода, на стадии до того, как они будут получены пользовательским приложением и зашифрованы. Руткит также отправляет данные о местоположении и при необходимости включает трансляцию видео и звука со встроенных камер и микрофона. Также описывается техника проведения атак против встраиваемых устройств с применением эмулятора клавиатуры, внедрение вредоносного ПО в автомобильные информационные системы и взлом умных телевизоров Samsung для их превращения в прослушивающее устройство. • Source: https://wikileaks.org/ciav7p1/