`

СПЕЦИАЛЬНЫЕ
ПАРТНЕРЫ
ПРОЕКТА

Архив номеров

BEST CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Кампания кибершпионажа использовала ранее неизвестный руткит

0 
 

Кампания кибершпионажа использовала ранее неизвестный руткит

TunnelSnake, кампания кибершпионажа, которая, по оценкам специалистов, проводится с 2019 г. и направлена на дипломатические представительства в Азии и Африке, использует ранее неизвестный руткит. Зловред Moriya позволяет совершать практически любые действия в операционной системе, проникать в сетевой трафик и маскировать вредоносные команды, отправляемые на зараженные устройства. С его помощью злоумышленники несколько месяцев тайно контролировали сети жертв.

Эксперты «Лаборатории Касперского» начали расследование, когда получили от защитных продуктов уведомления об обнаружении уникального руткита внутри сетей компаний-жертв. Он умеет скрываться особенно хорошо благодаря двум особенностям.

Во-первых, руткит проникает в сетевые пакеты и проверяет их из пространства адресов ядра Windows – той области памяти, где обычно работает только привилегированный и доверенный код. Это позволяло зловреду отправлять уникальные вредоносные пакеты до их обработки сетевым стеком операционной системы и, как следствие, избегать детектирования защитными решениями. Во-вторых, руткиту не приходилось обращаться к серверу за командами, как это обычно происходит с бэкдорами. Он получал команды в специально промаркированных пакетах, которые приходили в общем потоке сетевого трафика. Это значит, что злоумышленникам не требовалось создавать и поддерживать командно-контрольную инфраструктуру. Кроме того, это позволяло им тщательно скрывать следы присутствия в системе.

В большинстве случаев руткит разворачивался путем компрометации уязвимых веб-серверов внутри сетей компаний-жертв. В одном случае атакующие заразили сервер веб-оболочкой China Chopper. Это вредоносный код, который позволяет удаленно контролировать зараженный сервер.

Кроме руткита Moriya, злоумышленники использовали и другие инструменты – новые кастомизированные или ранее использованные китайскоговорящими APT-группами. С их помощью атакующие сканировали устройства в локальной сети, находили новые цели и распространяли вредоносное ПО.

Исследователям неизвестно кто именно стоит за этой атакой. Но, судя по целям и инструментам, это может быть одна из известных китайскоговорящих групп. Также была обнаружена более старая версию Moriya, использовавшаяся в отдельной атаке 2018 г. Значит, группа, которая стоит за этой кампанией, активна как минимум с того времени. Выбор целей и инструментов позволяет предположить, что ее цель – шпионаж.

Вы можете подписаться на нашу страницу в LinkedIn!

0 
 

Напечатать Отправить другу

Читайте также

 
 

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT