Cyberatak na przedsiębiorstwa powiązane z obroną i wojskowością Rosji

Analitycy bezpieczeństwa Doctor Web przebadali nowy, złośliwy program, który potrafi wykonywać polecenia otrzymywane od cyberprzestępców i wykradać informacje z zainfekowanych urządzeń. Warto zauważyć, że wspomniany Trojan był rozpowszechniany przez cyberprzestępców poprzez ukierunkowany atak, wymierzony w jedną z największych grup przedsiębiorstw, głównie związanych z obronnością Federacji Rosyjskiej.

Backdoor (czyli luka w zabezpieczeniach systemu utworzona umyślnie w celu późniejszego wykorzystania) był rozpowszechniany poprzez masowe mailingi wymierzone w prywatne i korporacyjne adresy e-mail pracowników firm federacji. Dotyczy to liczby więcej niż dziesięciu będących członkami największej rosyjskiej grupy przedsiębiorstw. Wszystkie te zajmują się projektami związanymi z obronnością i reprezentują kompleks przemysłu wojskowego Rosji. Przypuszczalnie ten list był wysłany z konta pracownika centrali tej grupy i był zatytułowany "_ Uzupełnienie pilnego zadania z 03/30/15 ". Mail miał zawierać listę wyposażenia. Załącznikiem był plik Microsoft Excel o nazwie " Kopia wyposażenie 2015.xls _".

Plik dołączony do wiadomości zawiera exploit (program mający na celu wykorzystanie błędów w oprogramowaniu) wykorzystujący podatność CVE2012-0158, występującą w niektórych wersjach Microsoft Excel. Gdy ten plik zostanie otwarty na docelowym komputerze, uruchamiany jest proces, z którym powiązany jest moduł osadzający Trojana.

Następnie moduł wypakowuje backdoora, o którym mowa była na początku i zapisuje go na dysku komputera, rejestruje się w parametrach autostartu Windows i uruchamia wiersz komend cmd.exe w celu skasowania pliku procesu w którym był oryginalnie zawarty.

Gdy tylko uruchomi się na zainfekowanym komputerze, backdoor odszyfrowuje zawarty w swoim kodzie adres serwera kontrolno-zarządzającego i zestawia połączenie z serwerem. Wirus wysyła do przestępców informacje o zainfekowanym komputerze (adres IP komputera, jego nazwę, wersję systemu operacyjnego, szczegóły dotyczące obecności w sieci serwera proxy) i czeka na kolejne komendy przestępców. Co więcej, na podstawie otrzymanych komend, ten złośliwy program potrafi wysłać na zdalny serwer listę aktywnych procesów działających na zainfekowanym PC, pobrać i uruchomić inną złośliwą aplikację a także otworzyć konsolę zarządzającą i dokonać przekierowań wejścia/wyjścia na serwer przestępców, dając im kontrolę nad zarażonym komputerem.

Polecamy w wydaniu internetowym chip.pl: Nowa wyprzedaż gier w Biedronce