ЭКСПЛОИТЫ HACKING TEAM АКТИВНО ИСПОЛЬЗУЮТ ХАКЕРЫ

https://xakep.ru/wp-content/uploads/2015/08/hacking_team-1000x662.jpg
С момента массового хищения данных у компании Hacking Team, поставлявшей шпионский софт и другие хакерские решения правительствам и военным структурам многих стран, прошел месяц. В огромном архиве миланской компании обнаружились, в числе прочего, и опасные вещи – эксплоиты, информация о различных 0day уязвимостях. Сейчас, спустя время, становится известно, что хакерские группы незамедлительно взяли наработки Hacking Team в оборот.

«Лаборатория Касперского» сообщает, что экплоиты Hacking Team во всю использует группа Darkhotel, в частности, известная шпионской кампанией в отелях премиум-класса, нацеленной на высокопоставленных лиц и бизнесменов. Darkhotel применяет 0day для Adobe Flash Player из «портфолио» Hacking Team практически с самого момента утечки данных, которая имела место 5 июля текущего года.

По данным «Лаборатории Касперского», благодаря применению новых 0day и эксплоитов, группа Darkhotel не просто вернулась к активным действиям, но сумела расширить географию атак. Эксперты фиксировали нападения в России, Японии, Северной и Южной Корее, Бангладеш, Таиланде, Индии, Мозамбике и Германии.
Подробный анализ деятельности группировки в 2015 году опубликован на Securelist.

Тем временем, в документации Hacking Team продолжают находить что-то новое. На днях эксперты компании FireEye сообщили об обнаружении в архивах Hacking Team эксплоитов для бреши Masque. Если ранее в документах Hacking Team нашли ряд серьезных угроз для Android, то в этом случае под ударом оказались пользователи iOS.

Атака Masque построена на нескольких уязвимостях в iOS и позволяет хакерам подменять настоящие приложения своими. Если пользователь установит себе такой фейковый Chrome, Twitter, Facebook, Viber, Skype или WhatsApp, которые ведут себя в точности как настоящие, хакеры получат возможность собирать приватные данные пользователя, получат доступ к данным других приложений, смогут вмешиваться в трафик и так далее.

Техника атаки строится на взломе URL Scheme, когда пользователь, в ходе браузинга, кликает на зараженную ссылку, а на его iPhone скачивается и устанавливается приложение. Все это происходит вообще без ведома жертвы. Фальшивое приложение ведет себя в точности как настоящее. В архивах Hacking Team обнаружилось 11 таких приложений-фальшивок.

«Представьте вредоносную версию приложения для вызова таки, которая всегда вызывает водителя, который работает на плохих парней. Представьте мессенджер, который автоматически отправляет все личные сообщения, фото и данные GPS на удаленный сервер», — рассказал Business Insider представитель FireEye Саймон Маллис (Simon Mullis)

В iOS 8.1.3 и 8.4 уязвимости Masque закрыли полностью, или частично, однако в отчете FireEye сообщается, что уже замечены случаи использования наработок Hacking Team: фальшивые приложения уже вызвали интерес у хакеров. Пока пострадавших мало, но эксперты ожидают, что совсем скоро атаки Masque наберут популярность.

Эксперты FireEye утверждают, что это первый случай, когда малварь для iOS ориентирована на обычные устройства, без джейлбрейка.