Cyberatak na przedsiębiorstwa powiązane z obroną i wojskowością Rosji

Cyberatak na przedsiębiorstwa powiązane z obroną i wojskowością Rosji
Źródło zdjęć: © Fotolia / Tomasz Zajda

14.04.2015 10:54, aktual.: 14.04.2015 13:22

Zalogowani mogą więcej

Możesz zapisać ten artykuł na później. Znajdziesz go potem na swoim koncie użytkownika

Analitycy bezpieczeństwa Doctor Web przebadali nowy, złośliwy program, który potrafi wykonywać polecenia otrzymywane od cyberprzestępców i wykradać informacje z zainfekowanych urządzeń. Warto zauważyć, że wspomniany Trojan był rozpowszechniany przez cyberprzestępców poprzez ukierunkowany atak, wymierzony w jedną z największych grup przedsiębiorstw, głównie związanych z obronnością Federacji Rosyjskiej.

Backdoor (czyli luka w zabezpieczeniach systemu utworzona umyślnie w celu późniejszego wykorzystania) był rozpowszechniany poprzez masowe mailingi wymierzone w prywatne i korporacyjne adresy e-mail pracowników firm federacji. Dotyczy to liczby więcej niż dziesięciu będących członkami największej rosyjskiej grupy przedsiębiorstw. Wszystkie te zajmują się projektami związanymi z obronnością i reprezentują kompleks przemysłu wojskowego Rosji. Przypuszczalnie ten list był wysłany z konta pracownika centrali tej grupy i był zatytułowany "_ Uzupełnienie pilnego zadania z 03/30/15 ". Mail miał zawierać listę wyposażenia. Załącznikiem był plik Microsoft Excel o nazwie " Kopia wyposażenie 2015.xls _".

Plik dołączony do wiadomości zawiera exploit (program mający na celu wykorzystanie błędów w oprogramowaniu) wykorzystujący podatność CVE2012-0158, występującą w niektórych wersjach Microsoft Excel. Gdy ten plik zostanie otwarty na docelowym komputerze, uruchamiany jest proces, z którym powiązany jest moduł osadzający Trojana.

Następnie moduł wypakowuje backdoora, o którym mowa była na początku i zapisuje go na dysku komputera, rejestruje się w parametrach autostartu Windows i uruchamia wiersz komend cmd.exe w celu skasowania pliku procesu w którym był oryginalnie zawarty.

Gdy tylko uruchomi się na zainfekowanym komputerze, backdoor odszyfrowuje zawarty w swoim kodzie adres serwera kontrolno-zarządzającego i zestawia połączenie z serwerem. Wirus wysyła do przestępców informacje o zainfekowanym komputerze (adres IP komputera, jego nazwę, wersję systemu operacyjnego, szczegóły dotyczące obecności w sieci serwera proxy) i czeka na kolejne komendy przestępców. Co więcej, na podstawie otrzymanych komend, ten złośliwy program potrafi wysłać na zdalny serwer listę aktywnych procesów działających na zainfekowanym PC, pobrać i uruchomić inną złośliwą aplikację a także otworzyć konsolę zarządzającą i dokonać przekierowań wejścia/wyjścia na serwer przestępców, dając im kontrolę nad zarażonym komputerem.

Polecamy w wydaniu internetowym chip.pl: Nowa wyprzedaż gier w Biedronce

Oceń jakość naszego artykułuTwoja opinia pozwala nam tworzyć lepsze treści.
Wybrane dla Ciebie
Komentarze (0)