Записи с меткой «бекдор»

Борьба Севера и Юга? «Лаборатория Касперского» раскрывает новую кампанию кибершпионажа против Южной Кореи

«Лаборатория Касперского» обнаружила новую кампанию
кибершпионажа, нацеленную преимущественн

о на южно-корейские
государственные структуры и научно-исследовательские институты.
Операция, получившая название Kimsuky, ограничена и таргетирована
— как показал анализ, ее целями являлись 11 организаций в Южной
Корее и 2 — в Китае. В частности, атаке подверглись Сечжонский
Институт, Корейский Институт Защитного Анализа (KIDA), Министерство
Объединения, логистическая компания Hyundai Merchant Marine и сторонники
объединения республики Кореи.

Признаки активности были замечены 3 апреля 2013 года, а первые образцы
троянца Kimsuky стали доступны 5 мая. Эту относительно несложную
шпионскую программу отличает наличие ошибок в коде, а также
осуществление коммуникаций с помощью болгарского бесплатного почтового
сервера mail.bg.

Хотя точный способ заражения еще не установлен, эксперты
«Лаборатории Касперского» уверены, что распространение
Kimsuky происходило посредством рассылки целевых фишинговых писем. Этот
троянец обладает таким функционалом, как слежение за нажатием клавиш,
составление и кража списка файлов во всех каталогах, удаленное
управление компьютером и хищение документов формата HWP, повсеместно
используемого в южнокорейских госучреждениях в составе пакета Hancom
Office. Наличие последнего функционала дает все основания полагать, что
кража HWP-файлов — одна из основных задач троянца. Также атакующие
используют модифицированную версию легитимного приложения удаленного
управления компьютером TeamViewer в качестве бэкдора, с помощью которого
затем получают любые файлы с зараженной машины.

Улики, обнаруженные экспертами «Лаборатории Касперского»,
дают возможность предполагать наличие «следа» Северной
Кореи. Прежде всего, список целей атаки говорит сам за себя —
южнокорейские университеты, занимающиеся изучением международных
отношений и разработкой государственной оборонной политики, национальная
логистическая компания и группы политических активистов, выступающих за
объединение республики Корея. Во-вторых, строка кода зловреда содержит
корейские слова, которые переводятся как «атака» и
«финал».

Наконец, два почтовых адреса iop110112@hotmail.com и
rsh1213@hotmail.com, на которые зараженные компьютеры отправляют
уведомления о своем статусе и пересылают украденные данные во вложениях,
зарегистрированы на имя Kim: kimsukyang и Kim asdfa. И, несмотря на то,
что эта регистрационная информация не раскрывает ничего о
злоумышленниках, их IP-адреса дополняют картину: 10 зарегистрированных
IP-адреса принадлежат сети китайских провинций Гирин и Ляонин,
граничащих с Северной Кореей. По различным данным, поставщики услуг,
предоставляющие доступ в Интернет в этих провинциях, также имеют
проложенную сеть в некоторых регионах Северной Кореи.

Еще один интересный геополитический аспект Kimsuky в том, что он обходит
только защитные продукты южнокорейской антивирусной компании AhnLab. В
свою очередь продукты «Лаборатории Касперского» детектируют
и нейтрализуют эти угрозы, классифицируя их как Trojan.Win32.Kimsuky, а
модифицированные компоненты TeamViewer как Trojan.Win32.Patched.ps.

«Безусловно, Kimsuky — еще одно доказательство того, что
кибершпионаж становится все более популярным инструментом на
международной арене. Однако эта кампания интересна еще и тем, что
троянец написан с откровенными ошибками и обладает довольно простым
функционалом. Это говорит о том, что уже сегодня даже небольшая группа
людей при помощи относительно несложного вредоносного кода может
совершить атаку на крупные организации и государственные структуры. На
основании этого мы можем ожидать в скором будущем появления еще большего
количества подобных кампаний — возможно, не самых профессиональных
с точки зрения технического исполнения, но от того не менее
опасных», — прокомментировал Дмитрий Тараканов, антивирусный
эксперт «Лаборатории Касперского».

Ознакомиться с подробными результатами исследования кампании Kimsuky
можно, пройдя по ссылке: www.securelist.com/ru.

Реклама

«Лаборатория Касперского» объявила об обнаружении miniFlame
(http://www.securelist.com/ru/blog/207764257/miniFlame_on_zhe_SPE_Elvis_i_ego_druzya)
— небольшой и очень гибкой вредоносной программы, предназначенной
для кражи данных и управления зараженными системами в ходе точечных
атак, проводимых с целью кибершпионажа.

Программа miniFlame, известная также как SPE, была обнаружена экспертами
«Лаборатории Касперского» в июле 2012 года и первоначально
была идентифицирована как модуль вредоносной программы Flame. В сентябре
2012 года, после изучения серверов управления Flame, стало ясно, что
модуль miniFlame является интероперабельным и может применяться
одновременно и в качестве автономной вредоносной программы, и в качестве
плагина для вредоносных программ Flame
(https://www.securelist.com/ru/blog/207763998/Flame_chasto_zadavaemye_voprosy)
и Gauss (http://www.kaspersky.ru/news?id=207733820). Обнаружение

miniFlame был обнаружен в ходе детального анализа вредоносных программ
Flame и Gauss. В июле 2012 года эксперты «Лаборатории
Касперского» выявили дополнительный модуль Gauss под кодовым
названием «John» и обнаружили ссылки на аналогичный модуль в
конфигурационных файлах Flame. Последующий анализ серверов управления
Flame
(http://www.securelist.com/ru/blog/207764193/Polnyy_analiz_komandnykh_serverov_Flame),
осуществленный в сентябре 2012 года, позволил прийти к заключению, что
вновь обнаруженный модуль является в действительности отдельной
вредоносной программой, несмотря на то, что он может работать совместно
как с Gauss, так с Flame. На серверах управления Flame программа
miniFlame значилась под кодовым названием SPE.

«Лаборатория Касперского» обнаружила шесть различных
вариантов miniFlame, причем все датируются 2010-2011 годами. В то же
время, анализ miniFlame указывает на еще более раннюю дату начала
разработки — не позднее 2007 года. Возможность использования
miniFlame в качестве плагина как к Flame, так и к Gauss ясно указывает
на взаимодействие между группами разработчиков, ответственных за
создание этих вредоносных программ. Поскольку связь между Flame и
Stuxnet/Duqu уже установлена, можно сделать вывод, что все эти программы
созданы на одной и той же «фабрике кибероружия». Функционал

Учитывая подтвержденную взаимосвязь между miniFlame, Flame, и Gauss,
вероятно, что miniFlame устанавливался на компьютерах, уже зараженных
Flame или Gauss. Проникнув в систему, miniFlame выполняет функции
бэкдора, позволяя оператору вредоносной программы получить с зараженной
машины любой файл. В число дополнительных возможностей, связанных с
кражей данных, входит создание снимков экрана зараженного компьютера при
работе в отдельных программах и приложениях, таких как браузеры,
программы Microsoft Office, Adobe Reader, сервисы мгновенного обмена
сообщениями и FTP-клиенты. miniFlame передает украденные данные,
соединившись со своим сервером управления (который может быть выделенным
или общим с Flame). Кроме того, по запросу оператора сервера управления
miniFlame на зараженную систему может быть загружен дополнительный
модуль для кражи данных, заражающий USB-накопители и использующий их для
хранения данных, собранных на зараженных машинах, в отсутствие
интернет-соединения.

«miniFlame представляет собой инструмент для проведения
высокоточных атак. Вероятнее всего, это кибероружие с четко
обозначенными целями, применяемое в ходе того, что можно назвать второй
волной кибератаки, — комментирует главный антивирусный эксперт
«Лаборатории Касперского» Александр Гостев. — Вначале
используется Flame или Gauss для заражения как можно большего числа
жертв и сбора значительного объема информации. После этого собранные
данные анализируются, определяются и идентифицируются потенциально
интересные жертвы, и уже на их компьютерах устанавливается miniFlame для
осуществления углубленной слежки и кибершпионажа. Обнаружение miniFlame
дало нам дополнительные доказательства взаимодействия между создателями
наиболее примечательных вредоносных программ, применяемых в качестве
кибероружия: Stuxnet, Duqu, Flame и Gauss». Основные результаты
исследования
*  miniFlame, известный также как SPE, основан на той же
архитектурной платформе, что и Flame. Он способен функционировать как
самостоятельная программа для осуществления кибершпионажа или в качестве
компонента, входящего в состав как Flame, так и Gauss.
*  Этот
инструмент кибершпионажа выполняет функции бэкдора, обеспечивая
возможность кражи данных и непосредственного управления зараженными
системами.
*  Судя по всему, разработка miniFlame началась еще в 2007
году и продолжалась до конца 2011 года. Скорее всего было  создано
большое число модификаций программы. На сегодняшний день
«Лаборатории Касперского» удалось выявить шесть вариантов,
принадлежащих двум основным поколениям: 4.x and 5.x.
*  В отличие от
Flame и Gauss, на счету которых большое число заражений, количество
систем, зараженных miniFlame, значительно меньше. Исходя из имеющихся у
«Лаборатории Касперского» данных, число заражений находится
в диапазоне от 10 до 20 машин; при этом общее число зараженных miniFlame
компьютеров по всему миру оценивается в 50-60 машин.
*  Малое число
компьютеров, зараженных miniFlame, в сочетании с функционалом кражи
данных и гибкими возможностями применения свидетельствует о том, что
вредоносная программа использовалась лишь для узкоцелевых операций,
связанных с кибершпионажем и, вероятно, развертывалась на машинах, уже
зараженных Flame или Gauss.

Дополнительную информацию о miniFlame можно найти на сайте:
www.securelist.com/ru/blog/207764257/miniFlame_on_zhe_SPE_Elvis_i_ego_druzya
(http://www.securelist.com/ru/blog/207764257/miniFlame_on_zhe_SPE_Elvis_i_ego_druzya).