Haker o gołębim sercu? Nie daj się zwieść!
2016-03-11 13:49
Operacja szpiegowska © fot. mat. prasowe
Przeczytaj także: Cyberprzestępcy opróżniają bankomaty
PlugX to szkodliwe narzędzie zdalnej administracji pozwalające cyberprzestępcom na kontrolowanie zainfekowanych komputerów bez potrzeby posiadania fizycznego dostępu. Pierwsza analiza specjalistów z Kaspersky Lab poświęcona temu narzędziu została opublikowana pod koniec 2012 r. Było ono wykorzystywane w wielu atakach na całym świecie, wymierzonych m.in. w organizacje wojskowe, rządowe oraz firmy prywatne. W 2013 r. eksperci zidentyfikowali cybergang Winnti, który stosował moduł PlugX do atakowania twórców gier online.Niedawno badacze z Kaspersky Lab przeprowadzili analizę nowej, nietypowej próbki narzędzia PlugX. Okazało się, że została ona przygotowana przy użyciu specjalnego generatora, który pozwala cyberprzestępcom na tworzenie paczek wykorzystywanych do infekowania atakowanych komputerów. Zawierają one legalny, podpisany cyfrowo plik wykonywalny, wykorzystywaną przez niego, odpowiednio zmodyfikowaną bibliotekę oraz właściwy kod szkodnika, który jest uruchamiany na samym końcu. Analizując kod plików tworzonych przez generator, badacze wykryli próbkę, w której wnętrzu znajdowały się dane zaszyfrowane przy użyciu algorytmu kryptograficznego RC4. Prawdziwym zaskoczeniem był klucz stosowany do odszyfrowywania tej zawartości — wygląda on następująco: „SORRY.i_have_to_do_this” , czyli: przepraszam, muszę to zrobić.
„Z pewnością nie jest to wiadomość, której można by się spodziewać w kodzie szkodliwego programu wykorzystanego w wielu zaawansowanych atakach ukierunkowanych na cele wysokiego szczebla na całym świecie. W przeszłości niejednokrotnie badaliśmy narzędzie PlugX i zidentyfikowaliśmy szereg rodzin zagrożeń związanych z tym modułem, a podobieństwa w kodzie sugerują, że ich autorem może być ta sama osoba. Cyberprzestępca ten jest bardzo produktywny, pisząc szkodliwe programy dla chińskojęzycznych cybergangów przeprowadzających ataki ukierunkowane, a praca tego typu raczej nie zostawia miejsca na sentymenty. Trudno powiedzieć, czy hakera ruszyło sumienie, czy jest to swego rodzaju żart” — powiedział Dmitrij Tarakanow, starszy badacz ds. bezpieczeństwa IT, Globalny Zespół ds. Badań i Analiz, Kaspersky Lab, Kaspersky Lab.
Istnieje także inny potencjalny powód pojawienia się tej wiadomości — przygotowanie modułu odpowiedzialnego za szyfrowanie mogło zostać zlecone innemu programiście. Podczas tworzenia skomplikowanych cyberzagrożeń zadania są dzielone na różne osoby lub zespoły odpowiedzialne za poszczególne aspekty działania szkodliwego programu: identyfikowanie ofiar, infekcja, omijanie ochrony, pobieranie modułów, szyfrowanie itd. Wiadomość z przeprosinami mogła zatem zostać zamieszczona przez kogoś, kto po prostu dobrze się bawił, nie wiedząc, w jakim kontekście wykorzystany zostanie tworzony przez niego kod, lub został zmuszony do udziału w operacji cyberprzestępczej i miał szczere wyrzuty sumienia.
fot. mat. prasowe
Fragment kodu szkodliwego programu z przeprosinami od cyberprzestępcy
Rozwiązania Kaspersky Lab wykrywają wszystkie szkodliwe programy tworzone przy użyciu generatora PlugX.
oprac. : eGospodarka.pl
Przeczytaj także
-
Hakerzy udają firmy kurierskie. Jak poznać oszustwo na dostawę towaru?
-
Jak zabezpieczyć się przed cyberatakami w 2018 roku?
-
Zagrożenia w sieci. Co przyniesie 2018 rok?
-
Największe cyberzagrożenia. Rok 2018 pod znakiem ransomware
-
Zagrożenia internetowe w 2018 roku wg Kaspersky Lab
-
Zagrożenia internetowe w 2017 roku wg Kaspersky Lab
-
Ładowarka do telefonu, czyli wilk w owczej skórze
-
Cyberprzestępcy i ich zupełnie legalne narzędzia
-
Ataki na bankomaty. Już nie tylko skimming
Skomentuj artykuł Opcja dostępna dla zalogowanych użytkowników - ZALOGUJ SIĘ / ZAREJESTRUJ SIĘ
Komentarze (0)