Новый вирус атакует российские компании высоких технологий

Новый вредоносный код получил название Sanny и происходит из Кореи. Как рассказали в компании FireEye, специалисты которой обнаружили новый вирус, код Sanny похищает различные типы информации, в том числе пароли, логины, данные из корпоративных систем, реквизиты от общедоступных сервисов и другие сведения. Также код пытается различными способами получить данные о физическом местоположении целевого компьютера.

- Sanny - один из самых интересных вредоносных кодов современного ландшафта. Он явно относится к так называемому наступательному вредоносному ПО и работает в интересах разведывательных аналитиков, - говорит Алекс Ланштейн из FireEye.

Сам по себе Sanny, уточнил специалист, не делает ничего плохого компьютеру, на который попадает. Он пытается получить некоторые данные, которые используются в дальнейшей разведывательной деятельности. Создан код Sanny был при помощи алгоритма, известного, как полиморфный PDF. Этот алгоритм широко применяется для создания различного вредоносного ПО, потому довольно трудно сказать, кто именно стоит за Sanny, хотя первые очаги кода обнаружены в Корее.

- Чтобы точно говорить о том, кто точно стоит за данным кодом, необходимо проанализировать, какие данные интересуют удаленных операторов кода и тогда можно будет точнее судить об авторе атак, - говорит Ланштейн.

В то же время, по мнению эксперта, сейчас можно с высокой степенью вероятности утверждать, что российская атака Sanny - это атака со стороны другой страны и тут речь идет о государственном шпионаже.

Судя по предварительным данным, операторов Sanny, атакующих российские компьютеры, интересуют прежде всего некоторые документы Microsoft Word, причем распространяется код точно также - под видом легитимного документа Word. Данный вектор атак довольно популярен и зачастую атаки на коммерческих или государственных пользователей начинаются именно с отправки им псевдо-легитимных офисных документов.

В FireEye говорят, что перехваченный ими образец Sanny заинтересовал экспертов набором символов на кириллице, что не слишком типично, так как значительная часть государственных кибератак до сих пор была направлена на Европу или США, где используют латиницу. Дальнейшие исследования показали, что потенциальными получателями вредоноса являются российские компании.

- Интересны и цели атак Sanny. Мы исследовали полный журнал IP, полученный с компьютеров-жертв. Некоторые из них принадлежат компаниям в России, работающим с космическими технологиями, - говорит Ланштейн.

На момент проведения анализа командно-контрольный сервер проекта находился на корейском сервере с доменом nboard.net. Также было установлено, что в самом сервере и в коде используются одни и те же шрифты - Batang и CheongPong. Кроме того, в Sanny содержится механизм изменения C&C-сервера. Если корейский сервер недоступен, то код отсылает данные на один из почтовых ящиков Yahoo.

Кроме того, FireEye заявляет, что атака на данный момент находится в активной фазе и оператор атаки примерно каждые 48 часов меняет данные о C&C-сервере, чтобы затруднить его обнаружение.

- Только за последние пять дней злоумышленники трижды собирали данные и дважды меняли данные о сервере, - говорит Ланштейн.

"Байкал24"



РСХБ
Авторские экскурсии
ТГ