"Государственные хакеры" охотятся за гостайнами, используя троянец MSUpdater

02.02.2012

ИТ-компании Zscaler и Seculert сообщают, что пользователи из среды госсектора и компаний, работающих с госсектором, стали получать спам-письма, выполненные под видом приглашения на различные конференции. Часто приглашения были размещены в PDF-файлах. В приложенных файлах содержался вредоносный код, рассчитанный на использование уязвимостей в Adobe Reader. Уязвимость в Reader, эксплуатируемая в этой атаке, была закрыта Adobe около года назад, поэтому хакеры, судя по всему, надеялись на нерасторопность ИТ-администраторов соответствующих ведомств.

Атакующие явно заинтересованы в получении файлов, хранящихся на компьютерах работников американского госсектора и компаний, с ним связанных. Технический директор Seculert Авив Рафф полагает, что за данной атакой стоят так называемые "государственные хакеры", так как обычные злоумышленники вряд ли станут охотиться за гостайнами, предпочитая банально воровать номера кредиток пользователей и реквизитов систем онлайн-банкинга. Zscaler и Seculert конкретных названий пострадавших компаний не разглашают.

В данной атаке привлекает вниманиедополнительная шифровка исходящего от троянца трафика. Это говорит о том, что хакеры не исключали возможности обнаружения троянца со стороны пользователей, однако, чтобы последним было труднее отследить командный сервер, на который троянец передавал ворованные данные, зашифровали трафик. В Zcaler говорят, что троянец во время работы создавал вокруг себя виртуальную машину в миниатюре, которая должна была гарантировать защиту получателям краденных данных.