Pētot bīstamo banku Trojas zirgu Lurk, kaspersky Lab drošības eksperti atklāja, ka šo ļaunprogrammatūru pārvaldošie noziedznieki inficēšanai ir izmantojuši leģitīmu programmatūru. Kad lietotāji bez jebkādām aizdomām instalēja leģitīmu tālpieejas programmatūru no tās izstrādātāja oficiālās tīmekļa vietnes ammyy.com, viņi negribot bija ļāvuši savos datoros iekļūt ļaunprogrammatūrai.
Banda Lurk tika apcietināta Krievijā 2016. gada jūnija sākumā, un tā izmantoja daudzlīmeņu Trojas zirgu ar tādu pašu nosaukumu. Tiek ziņots, ka ar tā palīdzību bandai ir izdevies nozagt bankām, citām finanšu iestādēm un uzņēmumiem valstī 45 miljonus dolāru.
Lai izplatītu ļaunprogrammatūru, banda izmantoja dažādus ļaunprātīgus paņēmienus, tostarp dzeramvietas (watering hole) uzbrukumus, kad leģitīma tīmekļa vietne tiek uzlauzta un inficēta ar mūķiem, kas pēc tam inficē upura datoru ar ļaunprogrammatūru. Viens no Lurk veikto dzeramvietas uzbrukumu piemēriem bija īpaši interesants, jo tajā bija iesaistīti nevis mūķi, bet gan leģitīma programmatūra.
Veicot Lurk tehnisko analīzi, Kaspersky Lab eksperti pamanīja interesantu sakarību — daudziem ļaunprogrammatūras upuriem datoros bija instalēts attālās darbvirsmas rīks Ammyy Admin. Šis rīks ir samērā populārs uzņēmumu sistēmas administratoru vidū, jo tas ļauj viņiem attālināti strādāt ar savas organizācijas IT infrastruktūru. Bet kāda ir šī rīka un ļaunprogrammatūras saistība?
Lai saņemtu atbildi uz šo jautājumu, Kaspersky Lab eksperti apmeklēja Ammyy Admin oficiālo tīmekļa vietni un mēģināja lejupielādēt šo programmatūru. Tas viņiem izdevās, bet no tīmekļa vietnes iegūtās programmatūras analīze parādīja, ka kopā ar tīru tālpieejas rīku ir lejupielādēts arī Trojas zirgs Lurk. Šīs stratēģijas pamatojums ir skaidrs: upuris diez vai pamanīs ļaunprogrammatūras instalēšanu, jo sakarā ar tālpiekļuves programmatūras būtību daži antivīrusu risinājumi to uzskata par ļaunprātīgu vai bīstamu. To zinot, IT dienestu speciālisti uzņēmumos ne vienmēr pievērš pienācīgu uzmanību drošības risinājumu brīdinājumiem, daudzi uzskatītu, ka tā ir viltus trauksme, ja viņu antivīrusu risinājums to konstatētu. Lietotāji nesaprata, ka ļaunprogrammatūra patiešām ir lejupielādēta un instalēta viņu datoros.
Kaspersky Lab informācija liecina, ka Trojas zirgs Lurk tika izplatīts caur ammyy.com kopš 2016. gada februāra sākuma. Uzņēmuma pētnieki uzskata, ka uzbrucēji izmantoja trūkumus Ammyy Admin tīmekļa vietnes drošības sistēmā, lai pievienotu ļaunprogrammatūru tālpieejas programmatūras instalācijas arhīvam. Kaspersky Lab eksperti informēja tīmekļa vietnes īpašniekus par incidentu uzreiz pēc tā pamanīšanas, un viņi acīmredzot novērsa problēmu.
Tomēr 2016. gada aprīļa sākumā Ammyy tīmekļa vietnē tika konstatēta vēl viena Trojas zirga Lurk versija. Šoreiz krāpnieki bija sākuši izplatīt nedaudz modificētu Trojas zirgu, kas automātiski pārbaudīja, vai upura dators ir daļa no uzņēmuma tīkla. Ļaunprogrammatūra tika instalēta tikai tad, ja tika apstiprināta uzņēmuma tīkla klātbūtne, tādējādi padarot tās uzbrukumus daudz mērķtiecīgākus.
Kaspersky Lab eksperti atkal ziņoja par šīm aizdomīgajām darbībām un saņēma uzņēmuma atbildi, ka problēma ir atrisināta. Tomēr 2016. gada 1. jūnijā mēs konstatējām citu, jaunu Trojas zirgu Fareit, kas bija ieviests šajā tīmekļa vietnē. Šoreiz ļaunprogrammatūra bija paredzēta lietotāju personīgās informācijas zagšanai. Arī par to tika paziņots tīmekļa vietnes īpašniekiem.
Pašlaik vietne nemitina šo ļaunprogrammatūru.
«Leģitīmas programmatūras izmantošana noziedzīgos nolūkos ir ļoti efektīvs ļaunprogrammatūru izplatīšanas paņēmiens. Pirmām kārtām tāpēc, ka kibernoziedznieki var izmantot lietotāju priekšstatus par viņu lejupielādējamās leģitīmās programmatūras drošumu. Lejupielādējot un instalējot programmatūru no pazīstamiem izstrādātājiem, lietotāji nedomā par iespēju, ka tai varētu būt ļaunprātīgi pielikumi. Tādējādi kibernoziedzniekiem ir daudz vieglāk piekļūt saviem mērķiem un ievērojami palielinās viņu upuru skaits,» brīdina Kaspersky Lab ļaunprogrammatūru analītiķis Vasilijs Berdņikovs.
Lai samazinātu šāda veida uzbrukumu risku, IT dienestiem ir nepārtraukti jāpārbauda ievainojamības savā organizācijā un jāapvieno tas ar uzticama drošības risinājuma ieviešanu un informētības par kiberdrošību paaugstināšanu darbinieku vidū.
Vairāk informācijas un uzbrukuma specifikācijas var atrast rakstā tīmekļa vietnē Securelist.
Trojas zirga Lurk funkcionalitātes detalizēts apraksts ir pieejams šeit.
Sākums Programmatūra Bandas Lurk Trojas zirga izplatīšanai ir izmantota leģitīma tālpieejas programmatūra
Latvijā izsniegtās e-receptes būs iespējams izmantot ārvalstīs
latvija uzsākusi pārrobežu e-recepšu datu apmaiņu ar noteiktām dalībvalstīm, lai nodrošinā…Revolut sāk piedāvāt eSIM pakalpojumu
Revolut, globālā finanšu lietotne ar vairāk nekā 40 millioniem klientu visā pasaulē un 300…Omniva savu digitālo rīku attīstībā investēs vairākus miljonus eiro
Sūtījumu piegādes loģistikas uzņēmums Omniva Grupa nācis klajā ar būtiskiem pašapkalpošanā…Aicina pieteikties populārākajām Riga TechGirls bezmaksas mācībām – Iepazīsti Tehnoloģijas
Šonedēļ sākas pieteikšanās Riga TechGirls gadskārtējām bezmaksas apmācībām latviešu valodā…Eleport investēs vairāk nekā 20 miljonus eiro uzlādes tīkla attīstībai Baltijā un Polijā
2024. gada pirmajos trīs mēnešos “Eleport” ir uzstādījis jaunas uzlādes stacijas 7 vietās …Bite Latvija šonakt veiks tīkla modernizācijas darbus, iespējami traucējumi
“bite latvija” turpina attīstīt nākamās paaudzes 5g tīklu, kā ietvaros naktī no 19. uz 20.…
Ielādēt vairāk rakstus
Latvijā izsniegtās e-receptes būs iespējams izmantot ārvalstīs
latvija uzsākusi pārrobežu e-recepšu datu apmaiņu ar noteiktām dalībvalstīm, lai nodrošinā…Revolut sāk piedāvāt eSIM pakalpojumu
Revolut, globālā finanšu lietotne ar vairāk nekā 40 millioniem klientu visā pasaulē un 300…Omniva savu digitālo rīku attīstībā investēs vairākus miljonus eiro
Sūtījumu piegādes loģistikas uzņēmums Omniva Grupa nācis klajā ar būtiskiem pašapkalpošanā…Aicina pieteikties populārākajām Riga TechGirls bezmaksas mācībām – Iepazīsti Tehnoloģijas
Šonedēļ sākas pieteikšanās Riga TechGirls gadskārtējām bezmaksas apmācībām latviešu valodā…Eleport investēs vairāk nekā 20 miljonus eiro uzlādes tīkla attīstībai Baltijā un Polijā
2024. gada pirmajos trīs mēnešos “Eleport” ir uzstādījis jaunas uzlādes stacijas 7 vietās …Bite Latvija šonakt veiks tīkla modernizācijas darbus, iespējami traucējumi
“bite latvija” turpina attīstīt nākamās paaudzes 5g tīklu, kā ietvaros naktī no 19. uz 20.…
Load More By Jānis Alksnis
“Infosci” Tehnoloģiju startaps, kura jaunākajam dalībniekam ir 75
Uz papīra, kompānija “Infosci” izskatās tāpat kā liela daļa citu jauno uzņemumu, kuru veid…“Apple” steidzas labot jaunu kļūmi
Tehnoloģiju gigants “Apple” ticis galā ar kļūdu, kura likusi visām ierīcēm sasalt, ja tās …Pasaulē sākas jauna izspiedējvīrusa epidēmija
Šogad jau esam pieredzējuši divus plašus izspiedējvīrusu uzbrukumus — mēs runājam par bēdī…”Microsoft” paziņo par ”Windows 10 Fall Creators Update”
Microsoft paziņojis par nozīmīgo windows 10 Fall Creators Update atjauninājumu, kas sniedz…''Microsoft'' paziņo par ''Windows 10 Fall Creators Update''
Microsoft paziņojis par nozīmīgo windows 10 Fall Creators Update atjauninājumu, kas sniedz…Noslēgusies prestižākā programmatūras testēšanas konference Baltijā “TAPOST 2017”
Pulcējot teju 300 konferences dalībnieku no 12 pasaules valstīm, noslēgusies Baltijā vadoš…
Load More In Programmatūra
Komentāri ir slēgti
Iesakām izlasīt šādus rakstus
Latvijā izsniegtās e-receptes būs iespējams izmantot ārvalstīs
latvija uzsākusi pārrobežu e-recepšu datu apmaiņu ar noteiktām dalībvalstīm, lai nodrošinā…