Компания
295,91
рейтинг
26 февраля 2015 в 17:24

Разработка → Компанию Lenovo атаковали в отместку за шпионскую программу Superfish

image

В полночь на главной странице Lenovo.com появилось слайд-шоу с изображениями подростков, явно не предназначенное для рекламы ноутбуков и смартфонов компании. При открытии страницы начинала играть песня «Breaking Free» из кинофильма «Классный мюзикл» (High School Musical). В 7 утра (мск) на сайте висела заглушка, а восстановили его работу только через несколько часов.

Как пишет The Hacker News, к взлому сайта оказались причастны хакеры из Lizard Squad, что следует из сообщения в твиттере группы. В слайд-шоу были использованы фотографии ее активных участников Райана Кинга (Ryan King) и Рори Эндрю Годфри (Rory Andrew Godfrey), которые были арестованы после недавних атак на игровые сервисы. Кроме того, в код веб-страницы добавлена фраза о новом ребрендинге сайта Lenovo с Райаном Кингом и Рори Эндрю Годфри.



Издание The Verge приводит предположение Джонатана Здзярски (Jonathan Zdzyarski) о механизме атаки на сайт, который связывает его с подменой домена. Он обнаружил изменения в Whois – в частности, смену DNS-серверов и переезд на Cloudflare.

image

Помимо сайта, хакеры получили доступ к переписке сотрудников Lenovo.

image

В другом письме говорится, что удаление Superfish у одного из пользователей привело к поломке компьютера.

image

Напомним, что 19 февраля стало известно о программе Superfish, которая с лета 2014 года поставляется с ноутбуками серий G, U, Y, Z, S, Flex, Miix, Yoga и E. Утилита прослушивает трафик, в том числе HTTPS, подделывает SSL-сертификаты сторонних сайтов, анализирует поисковые запросы пользователя и вставляет рекламу на страницы сторонних ресурсов. После скандала Lenovo выпустила официальное письмо, в котором признала проблему Superfish и представила различные способы удаления утилиты.

Интересно, что за несколько дней до диверсии против крупнейшего производителя компьютеров отдел безопасности Facebook провел собственное расследование, по результатам которого были обнаружены еще несколько программ, использующих такую же библиотеку от компании Komodia, как и в Superfish.

  • CartCrunch Israel LTD
  • WiredTools LTD
  • Say Media Group LTD
  • Over the Rainbow
  • Tech System Alerts
  • ArcadeGiant
  • Objectify Media Inc
  • Catalytix Web Services
  • OptimizerMonitor

Библиотека Komodia модифицирует сетевой стек Windows и устанавливает новый корневой удостоверяющий центр, что позволяет таким приложениям выдавать себя за любой сайт, поддерживающий SSL.

The Hacker News приводит список хэшей, позволяющих идентифицировать вредоносные утилиты, содержащие библиотеку от Komodia.

0cf1ed0e88761ddb001495cd2316e7388a5e396e
473d991245716230f7c45aec8ce8583eab89900b
fe2824a41dc206078754cc3f8b51904b27e7f725
70a56ae19cc61dd0a9f8951490db37f68c71ad66
ede269e495845b824738b21e97e34ed8552b838e
b8b6fc2b942190422c10c0255218e017f039a166
42f98890f3d5171401004f2fd85267f6694200db
1ffebcb1b245c9a65402c382001413d373e657ad
0a9f994a54eaae64aba4dd391cb0efe4abcac227
e89c586019e259a4796c26ff672e3fe5d56870da
Автор: @ptsecurity
Positive Technologies
рейтинг 295,91

Комментарии (23)

  • +17
    Причёска.
    • +11
      Комментарий.
    • –18
      Ох, блин, прическа

      • –9
        Жесть, уберите это пожалуйста — я на работе с полной громкостью сидел. Не понимал в чем дело.
        • –7
          Убрал же под спойлер специально, чтобы особо чувствительных работников не травмировать…
  • +4
    А Lenovo вообще как-то ответило официально за беспредел? Или «мопед не их»?
    • +6
      Один иск в Калифорнийском суде уже есть: www.cnet.com/news/lenovo-hit-by-lawsuit-over-superfish-adware/
    • 0
      19 февраля стало известно о программе Superfish, которая с лета 2014 года поставляется с ноутбуками серий G, U, Y, Z, S, Flex, Miix, Yoga и E. Утилита прослушивает трафик, в том числе HTTPS, подделывает SSL-сертификаты сторонних сайтов, анализирует поисковые запросы пользователя и вставляет рекламу на страницы сторонних ресурсов.

      Что вообще происходит с миром? Кто-то скачивает пару песен и получает срок или огромные штрафы. Других вообще преследуют так, что молодые парни кончают жизнь самоубийством.
      А корпорации открыто впаривают зловреда и потом просто признают, мол да, косячнули, просим-с прощеньица, вот вам утилитка для удаления.

      Почему в их офисах ещё не выламывают двери полиционеры, не заламывают руки руководителям и не тычат всем подряд работникам стволами в морды??
      • +2
        Что вообще происходит с миром? Кто-то скачивает пару песен и получает срок или огромные штрафы. Других вообще преследуют так, что молодые парни кончают жизнь самоубийством.
        А корпорации открыто впаривают зловреда и потом просто признают, мол да, косячнули, просим-с прощеньица, вот вам утилитка для удаления.
        У корпораций есть деньги на лоббирование своих интересов, а простые смертные — ресурс для них. Вы расуждаете «по справедливости», а надо «по количеству ресурсов [= денег]».

        P.S. Я бы тоже хотел, чтобы Lenovo как-нибудь хорошо наказали, вплоть до уголовного преследования какого-нибудь менеджера, придумавшего это, например.
  • 0
    О, как раз вчера впервые за год пытался подыскать «несуществующий» ноутбук, зашел на леново, но слайдшоу не было, был просто текст что идут работы и через неск. минут поднимут сайт (и таки подняли).
  • 0
    >Библиотека Komodia модифицирует сетевой стек Windows и устанавливает новый корневой удостоверяющий центр, что позволяет таким приложениям выдавать себя за любой сайт, поддерживающий SSL.

    то есть можно перехватить и нормально расшифровать SSL траффик?
    я для своего софта интересуюсь
    • +5
      Принципиально не отличается от mitmproxy и подобных утилит. Устанавливается дополнительный Root CA, автоматически генерируются сертификаты для каждого сайта, на который идут через этот proxy.

      Здесь дополнительное веселье обеспечено тем, что они используют одну и ту же пару ключ-сертификат на всех машинах, что позволяет любому стороннему человеку осуществить mitm
    • –1
      Неплохой прокси «charles proxy» позволяет слушать https трафик на локальной машине.
  • +2
    Какая здоровенная ручища у этой прекрасной дамы…
    • 0
      А это разве не мужик в парике? Либо прическа такая.
      • 0
        Это однозначно парик. На голове неоткуда такому количеству волос взяться.
        Можно конечно всякими лаками и прочим поднять их, но тогда волосы врядли будут выглядеть так грязно и растрёпанно. Хотя я вообще лысый, это всё теория =)
        • 0
          С другой стороны, обратим внимание на брови этого трависти. Согласитесь, чувак входил в роль и старался.
      • –1
        И мне так показалось что парень. Там даже что то типа следов от усов проглядывается на скриншоте в начале статьи. Ну и выделяется парик.
  • +2
    да уж, от такого пятна на репутации ленововцам долго придётся отмываться

    а они здесь так сильно начали пиариться, что порядком стало раздражать
    в духе другого руссо-китайца хайскрина
    • +11
      Да 90% пользователей до лампочки, какое пятно
      • +8
        Ну почему же, может и так произойти: «Ивановна, ты своему отроку Леново не покупай, мне компьюторщик на работе сказал что на них вирусы прямо в магазине стоят.»
  • 0
    Не прокатило.
  • 0
    Стоило указать, что приведены хеши SHA1.

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.

Самое читаемое Разработка