ENGРоссийские хакеры создали малварь неотличимую от живого пользователя
Специалисты компании FireEye обнаружили вредоноса Hammertoss, который прикрывается обычным сетевым трафиком (в том числе Twitter и GitHub), чтобы иметь возможность подольше шпионить за намеченной жертвой из корпоративного сектора. Малварь настолько хорошо имитирует поведение живого пользователя, вплоть до соблюдения графика его работы, что обнаружить ее весьма сложно. В компании FireEye убеждены, что за Hammertoss стоит серьезная группа российских хакеров.
Хак-группа, разработавшая Hammertoss, известна специалистам с 2014 года, и они обозначают ее именем APT29 Advanced Persistent Threat 29). Цели, которые группа выбирает для атак, а также тот факт, что ее малварь явно заточена под московский часовой пояс и российский график праздников, намекают, что группа тоже российская.
С целью затруднить обнаружение своего нового вредоноса, хакеры научили его виртуозно скрываться за обыкновенным сетевым трафиком.
Впервые Hammertoss заметили вначале текущего года, тогда вредонос использовал два бекдора, для проникновения в систему жертвы и, казалось, что он используется больше для прикрытия, чтобы «держать дверь открытой». С тех пор поведение малвари сильно изменилось.
APT29 задействовали сразу несколько известных методик, чтобы лучше скрыть вредоноса. Так Hammertoss отсылает совершенно легитимные, неподозрительные запросы социальным сетям, ежедневно посещает разные страницы в Twitter, что особенно забавно, в свете того, что APT29 создают сотни Twitter-аккаунтов, и совсем не для хороших целей. Вредонос также использует скомпрометированные веб-серверы для C&C (если почему-то не может зайти на GitHub или в Twitter), и даже работает строго по тому же графику, что и реальный пользователь, ставший жертвой заражения.
Хуже того, Hammertoss «дружит» со стеганографией и может получать команды через обычные картинки, размещенные в сети (к примеру, на GitHub), не требующие никакой распаковки и исполнения.
Большую часть времени вредонос ведет себя тише воды, ниже травы, лишь изредка отправляя украденные у жертвы данные в облачное хранилище.
Специалисты FireEye отмечают, что хакеры не применяли никаких новых, доселе невиданных трюков, но, тем не менее, такого сложного и хитрого использования уже известных техник, на таком уровне, в FireEye еще не встречали.
Смотрите также:
- 2015/07/30Хакеры не крали у Сбербанка 2 миллиарда
- 2015/07/30Переименовав устройство Apple, можно взломать App Store и iTunes
- 2015/07/30Дмитрий Лернер: "Чубайс согласовал с Путиным мое устранение". На главу "Роснано" заявил брат бизнес-партнера корпорации, севшего за мошенничество с "наноасфальтом"
- 2015/07/30Низости высоких технологий. Как структуры бывшего топ-менеджера "Армады" Алексея Кузовкина информатизировали "распил"
- 2015/07/30Герб и лайф Олега Кузнецова. Жена главного геральдиста Минобороны припала к бюджетам силовиков
- 2015/07/30Мага Банкир капитализировал "крышу" Витас-банка. Дагестанский депутат Магомед Магомедов возглавил ОПС и получил 16 лет "строгача"
- 2015/07/31Сердюков вывел активы на себя. Экс-министр обороны занялся инвестициями, сестра передала ему 2 квартиры в доме, где он жил со своей протеже Васильевой
Комментарии:
Написать комментарий