+38/050/370-3627
+38/093/220-0872
+38/044/257-2444
Новини

Cisco Talos: Хакери використовують для своїх атак легітимні інструменти віддаленого доступу

Cisco Talos: Хакери використовують для своїх атак легітимні інструменти віддаленого доступу

Хакери використовують для своїх атак легітимні інструменти віддаленого доступу. Про це йдеться в доповіді, опублікованій компанією Cisco Talos. Зокрема, в ньому вказується, що інструмент дистанційного керування Remcos, розроблений компанією Breaking Security, та утиліта шифрування Octopus Protector, поряд з іншими програмами цього виробника, використовуються зловмисниками для налаштування та обслуговування ботнетів.

Утиліта Remcos (скорочення від Remote Control та Surveillance) поширюється за ціною від €58 до €389 і дозволяє контролювати будь-яку версію операційної системи Windows, починаючи з XP. Після встановлення, це ПЗ можна задіяти для моніторингу активності користувача, включаючи ведення журналу натискань клавіш, дистанційне отримання знімків екрану і віддалене виконання команд. Утиліта здатна одночасно обробляти з'єднання з кількома системами.

Breaking Security стверджує, що їхнє програмне забезпечення призначене лише для законного використання та згідно з правилами надання послуг, розміщеними на сайті компанії, застосування продуктів дозволено виключно з легітимною метою, а будь-яке порушення спричинить відкликання ліцензії.

Проте, за даними Cisco Talos, Remcos широко використовується зловмисниками. Зареєстровано застосування цього інструменту для цілеспрямованих фішингових атак на міжнародні інформагентства, підрядників оборонних підприємств, організації пов'язані з різними критично важливими секторами інфраструктури, виробників дизельного обладнання та постачальників послуг у морській та енергетичній сферах. Жертвами кіберпрестуників стали підприємства у Туреччині, Іспанії, Польщі та Великобританії.

Автори доповіді також зазначають, що програмне забезпечення Breaking Security активно рекламується на профільних форумах хакерів. Крім того, наводиться приклад, де один з користувачів ділиться своїм досвідом застосування інструментів цієї компанії для управління двома сотнями ботів.

Відтак, фахівці Cisco Talos змінили класифікацію Remcos на троянське програмне забезпечення для віддаленого доступу (RAT), і радять адміністраторам перевіряти та обробляти установку Remcos, як і будь-якого іншого троянця або шкідливого ПЗ.

Розробники Remcos не згодні

У відповідь на звинувачення Cisco Talos розробник інструменту Remcos Франческо Віотто(Francesco Viotto) заявив, що ця утиліта призначена виключно для законного використання, а компанія виробник має в своєму розпорядженні способи блокування недобросовісних користувачів.

«Завдяки тому, що наше ПЗ досить потужне та універсальне, деякі користувачі зловживали ним і застосовували його для керування машинами, не маючи на це законного права. Це явно заборонено умовами користувальницької угоди, які будь-який клієнт має прийняти до реєстрації та покупки на нашому сайті, – заявив пресі Франческо Віотто. – Якщо ми дізнаємося про зловживання нашим програмним забезпеченням, ми можемо негайно відкликати ліцензію і після цього користувач буде автоматично заблокований».

За його словами, фахівці Cisco Talos не надіслали жодного повідомлення про шкідливе використання Remcos, хоча для подібних випадків на сайті Breaking Security розміщена адреса електронної пошти. З чого Віотто зробив висновок, що Cisco Talos не були зацікавлені в припиненні шкідливої ​​кампанії.

На думку експертів, така позиція Breaking Security створює ризики для кібербезпеки підприємств та цілком закономірно, що ці інструменти можуть розцінюватися як шкідливе програмне забезпечення.

«Не викликає сумніву той факт, що компанія-розробник подібних утиліт повинна ретельно розслідувати інциденти, пов'язані з використанням ПЗ, що розробляється, і вносити зміни за результатами аналізу подібних ситуацій, щоб запобігти їх виникненню в майбутньому. Або компанія може задовольнятися тим, що розроблене нею буде віднесено до класу зловмисного. Можливість використання утиліт віддаленого адміністрування для побудови ботнетів можна досить легко припинити у разі бажання розробника. Для цього є безліч способів. Наприклад, встановлювати піктограму програми в треї або вимагати дозволу користувача в явному вигляді при кожному підключення і т.д. У будь-якому випадку такий підхід з боку розробників, коли вони вважають за краще реагувати тільки на явно виявлені інциденти, не видаляючи можливість використання ПЗ в нелегітимних цілях, викликає дуже великі питання і не повинен залишатися поза увагою, оскільки створює ризики для компанії, де це ПЗ було виявлено. Результат цілком закономірний і на мій погляд справедливий».

Тим часом Cisco Talos вже попередила правоохоронні органи США про використання Remcos у кількох глобальних хакерських кампаніях.

Інші новини

Найкраща ціна