Хакеры используют ПО, имитирующее обновление Windows, для шпионажа

01.02.2012

Эксперты утверждают, что первые подобные атаки были осуществлены в 2009 году. Атаки, осуществленные с помощью вредоносного ПО, имитирующего работу программы для установки обновлений безопасности в Windows, были реализованы хорошо подготовленной группой хакеров и происходят до сих пор, сообщают эксперты.

"Объектами атак становятся компании из США и других стран, чья деятельность тесно связана с разработкой аэрокосмических и оборонных технологий", - сообщается в исследовании, однако названия конкретных компаний и общее количество инцидентов с участием данного вредоносного ПО не сообщаются.

В большинстве случаев хакеры посылали сотруднику атакуемой компании фальшивое приглашение на одну из популярных профессиональных конференций. В качестве примера исследователи приводят приглашения на конференции, посвященные интеллектуальным сенсорам, сенсорным сетям и прочим высокотехнологичным продуктам, востребованным оборонной промышленностью. Фальшивые приглашения были посланы сотруднику одной из атакованных компаний, чья деятельность была связана как раз с сенсорными системами.

Приглашение обычно представляет собой файл в формате PDF с внедренным вредоносным кодом, который эксплуатирует уязвимости в Adobe Reader - популярной программе для просмотра в том числе PDF-файлов.

Как пишут исследователи, как правило, хакеры использовали так называемые уязвимости "нулевого дня" (уязвимости, неизвестные самим разработчикам продукта) и оперативно редактировали вредоносный код, изменяя его под вновь обнаруженные уязвимости подобного рода, когда разработчики из Adobe выпускали обновления, исправлявшие старые ошибки.

Успешная эксплуатация уязвимости приводила к загрузке с сайта злоумышленников троянской программы, которая имеет интерфейс, похожий на интерфейс программы поиска и установки обновлений Windows. Установочный файл с троянцем имеет название msupdater.exe, достаточно обычное, чтобы не вызвать подозрений даже у продвинутых пользователей ПК.

После установки в Windows, вредоносная программа связывается с командным сервером злоумышленников, с которого получает дальнейшие указания. Как утверждают исследователи, после установки соединения с сервером хакеров, троянская программа по запросу своих владельцев ищет в зараженном компьютере секретную информацию и отсылает ее им в зашифрованном виде.

Эксперты отмечают, что на профессиональность хакеров, распространяющих подобное ПО, указывает еще и тот факт, что троянец имеет функцию обнаружения виртуальных машин в атакуемой системе. Различные антивирусные решения используют виртуальные ПК для анализа поведения подозрительной программы в изолированной среде, выявляя таким образом вредоносное ПО и позволяя аналитикам провести подробный анализ его работы. Однако обнаруженные Seculert и Zscaler образцы вредоносного ПО умеют отличать настоящую систему от виртуальной, и в случае обнаружения последней, прекращают всякую деятельность в атакованной системе.

В Seculert и Zscaler не указывают, с каких территорий велись атаки с помощью данного троянца, однако эксперты считают, что преступная группа, использующая столь совершенное вредоносное ПО, скорее всего, состоит из высококлассных профессионалов, услуги которых под силу оплатить только крупным компаниям или государственным структурам.

По данным российской антивирусной компании "Лаботория Касперского", в мире работает семь-восемь преступных группировок, специализирующихся на похищении коммерческих данных из корпоративных компьютерных сетей. Эксперты антивирусной компании склонны считать, что в основном эти группы имеют интернациональный состав и нет смысла относить их к какому-либо государству.

Однако иные эксперты по информационной безопасности, а также представители власти США, считают, что в большинстве из произошедших в последние годы инцидентов, связанных с промышленным шпионажем, участвовали хакеры из Китая, деятельность которых спонсирует государство.

Китайское правительство упорно отрицает эти обвинения, отмечая, что вместе с остальными государствами прилагает большие усилия для борьбы с кибепреступниками, передает РИА Новости.

Источник: ПРАЙМ