ESET повідомляє про виявлення деталей набору інструментів для шпигунства, які використовувалися при атаці на уряд
ESET повідомляє про виявлення деталей набору інструментів для шпигунства, які використовувалися при атаці на уряд
ESET - експерт в галузі інформаційної безпеки - повідомляє про виявлення деталей набору інструментів для шпигунства, які використовувалися при атаці на уряд Малайзії в середині 2018 року. Особливістю цих атак було те, що він складався з витоків вихідного коду відомого шкідливого програмного забезпечення та загальнодоступних інструментів.
Під час дослідження виявлених частин загрози фахівці ESET виявили в коді елементи вже відомих шкідливих інструментів. Як основні бекдори використовувалися інструменти віддаленого доступу Gh0st RAT і NetBot Attacker, які були розроблені ще в 2008 році і набули популярності через те, що використовувалися у найбільших атаках того часу.
Незвичайним є повторне використання коду для атак такого рівня. Зазвичай шкідливе програмне забезпечення, створене для атак на державні установи, включає унікальні шкідливі інструменти. У разі атаки на уряд Малайзії навіть інструменти для уникнення виявлення були «запозичені» з коду Hacking Team.
Набір шкідливих інструментів працював як бекдор. У разі інфікування комп'ютера зловмисники могли здійснювати ексфільтрацію файлів або завантажувати файли на інфікований комп'ютер, а також редагувати та видаляти файли. Зловмисники також мали можливість контролювати та імітувати активність миші та клавіатури, збирати інформацію із системи, виконувати чи припиняти процеси, а також вимикати чи перезавантажувати систему.
Оскільки встановлено, що спроби атак здійснювалися зсередини мережі, дослідники ESET вважають, що зловмисники розповсюджували загрозу, спочатку інфікувавши один найбільш вразливий комп'ютер або сервер у мережі. Звідти шкідливе програмне забезпечення почало розповсюджуватись по всій мережі та було заблоковане на робочих станціях, захищених продуктами ESET.
Кожна атака такого рівня має свої особливості, але фахівці ESET радять використовувати якісне багаторівневе програмне забезпечення на всіх робочих станціях організації. Крім цього, важливе регулярне оновлення програмного забезпечення, жорстка політика паролів, а також відключення протоколу прикладного рівня (RDP) та захист доступу до пристроїв двофакторної автентифікації.
