Pētot bīstamo banku Trojas zirgu Lurk, Kaspersky Lab drošības eksperti atklāja, ka šo ļaunprogrammatūru pārvaldošie noziedznieki inficēšanai ir izmantojuši leģitīmu programmatūru. Kad lietotāji bez jebkādām aizdomām instalēja leģitīmu tālpieejas programmatūru no tās izstrādātāja oficiālās tīmekļa vietnes ammyy.com, viņi negribot bija ļāvuši savos datoros iekļūt ļaunprogrammatūrai.
Banda Lurk tika apcietināta Krievijā 2016. gada jūnija sākumā, un tā izmantoja daudzlīmeņu Trojas zirgu ar tādu pašu nosaukumu. Tiek ziņots, ka ar tā palīdzību bandai ir izdevies nozagt bankām, citām finanšu iestādēm un uzņēmumiem valstī 45 miljonus dolāru.
Lai izplatītu ļaunprogrammatūru, banda izmantoja dažādus ļaunprātīgus paņēmienus, tostarp dzeramvietas (watering hole) uzbrukumus, kad leģitīma tīmekļa vietne tiek uzlauzta un inficēta ar mūķiem, kas pēc tam inficē upura datoru ar ļaunprogrammatūru. Viens no Lurk veikto dzeramvietas uzbrukumu piemēriem bija īpaši interesants, jo tajā bija iesaistīti nevis mūķi, bet gan leģitīma programmatūra.
Veicot Lurk tehnisko analīzi, Kaspersky Lab eksperti pamanīja interesantu sakarību — daudziem ļaunprogrammatūras upuriem datoros bija instalēts attālās darbvirsmas rīks Ammyy Admin. Šis rīks ir samērā populārs uzņēmumu sistēmas administratoru vidū, jo tas ļauj viņiem attālināti strādāt ar savas organizācijas IT infrastruktūru. Bet kāda ir šī rīka un ļaunprogrammatūras saistība?
Lai saņemtu atbildi uz šo jautājumu, Kaspersky Lab eksperti apmeklēja Ammyy Admin oficiālo tīmekļa vietni un mēģināja lejupielādēt šo programmatūru. Tas viņiem izdevās, bet no tīmekļa vietnes iegūtās programmatūras analīze parādīja, ka kopā ar tīru tālpieejas rīku ir lejupielādēts arī Trojas zirgs Lurk. Šīs stratēģijas pamatojums ir skaidrs: upuris diez vai pamanīs ļaunprogrammatūras instalēšanu, jo sakarā ar tālpiekļuves programmatūras būtību daži antivīrusu risinājumi to uzskata par ļaunprātīgu vai bīstamu. To zinot, IT dienestu speciālisti uzņēmumos ne vienmēr pievērš pienācīgu uzmanību drošības risinājumu brīdinājumiem, daudzi uzskatītu, ka tā ir viltus trauksme, ja viņu antivīrusu risinājums to konstatētu. Lietotāji nesaprata, ka ļaunprogrammatūra patiešām ir lejupielādēta un instalēta viņu datoros.
Kaspersky Lab informācija liecina, ka Trojas zirgs Lurk tika izplatīts caur ammyy.com kopš 2016. gada februāra sākuma. Uzņēmuma pētnieki uzskata, ka uzbrucēji izmantoja trūkumus Ammyy Admin tīmekļa vietnes drošības sistēmā, lai pievienotu ļaunprogrammatūru tālpieejas programmatūras instalācijas arhīvam. Kaspersky Lab eksperti informēja tīmekļa vietnes īpašniekus par incidentu uzreiz pēc tā pamanīšanas, un viņi acīmredzot novērsa problēmu.
Tomēr 2016. gada aprīļa sākumā Ammyy tīmekļa vietnē tika konstatēta vēl viena Trojas zirga Lurk versija. Šoreiz krāpnieki bija sākuši izplatīt nedaudz modificētu Trojas zirgu, kas automātiski pārbaudīja, vai upura dators ir daļa no uzņēmuma tīkla. Ļaunprogrammatūra tika instalēta tikai tad, ja tika apstiprināta uzņēmuma tīkla klātbūtne, tādējādi padarot tās uzbrukumus daudz mērķtiecīgākus.
Kaspersky Lab eksperti atkal ziņoja par šīm aizdomīgajām darbībām un saņēma uzņēmuma atbildi, ka problēma ir atrisināta. Tomēr 2016. gada 1. jūnijā mēs konstatējām citu, jaunu Trojas zirgu Fareit, kas bija ieviests šajā tīmekļa vietnē. Šoreiz ļaunprogrammatūra bija paredzēta lietotāju personīgās informācijas zagšanai. Arī par to tika paziņots tīmekļa vietnes īpašniekiem.
Pašlaik vietne nemitina šo ļaunprogrammatūru.
«Leģitīmas programmatūras izmantošana noziedzīgos nolūkos ir ļoti efektīvs ļaunprogrammatūru izplatīšanas paņēmiens. Pirmām kārtām tāpēc, ka kibernoziedznieki var izmantot lietotāju priekšstatus par viņu lejupielādējamās leģitīmās programmatūras drošumu. Lejupielādējot un instalējot programmatūru no pazīstamiem izstrādātājiem, lietotāji nedomā par iespēju, ka tai varētu būt ļaunprātīgi pielikumi. Tādējādi kibernoziedzniekiem ir daudz vieglāk piekļūt saviem mērķiem un ievērojami palielinās viņu upuru skaits,» brīdina Kaspersky Lab ļaunprogrammatūru analītiķis Vasilijs Berdņikovs.
Lai samazinātu šāda veida uzbrukumu risku, IT dienestiem ir nepārtraukti jāpārbauda ievainojamības savā organizācijā un jāapvieno tas ar uzticama drošības risinājuma ieviešanu un informētības par kiberdrošību paaugstināšanu darbinieku vidū.
Vairāk informācijas un uzbrukuma specifikācijas var atrast rakstā tīmekļa vietnē Securelist.
Trojas zirga Lurk funkcionalitātes detalizēts apraksts ir pieejams šeit.
Sākums Programmatūra Bandas Lurk Trojas zirga izplatīšanai ir izmantota leģitīma tālpieejas programmatūra
No šī gada 1. jūlija Bite Latvija sāks piedāvāt optisko internetu, izmantojot Baltcom infrastruktūru
2024. gada 1. jūlijā tiks pabeigta “Bite Latvija” un “Baltcom” apvienošana, kā rezultātā “…Swedbank bankomātos sāk ieviest bezkontakta funkciju
Jau tagad Rīgā un citās Latvijas pilsētās ir pieejami vairāk nekā 20 ar bezkontakta funkci…Riga TechGirls saņem 500 000 eiro finansējumu, lai veicinātu digitālās prasmes un mākslīgā intelekta izmantošanu sieviešu vidū Latvijā
Kopiena Riga TechGirls, kas nodarbojas ar sieviešu iespējošanu tehnoloģiju jomā, ar sajūsm…RTU attīsta jaunu nanofotonikas pētniecības virzienu
Izveidojot Nanofotonikas zinātnisko laboratoriju, Rīgas Tehniskās universitātes (RTU) Dato…Eleport uzsāk sadarbību ar starptautisko lielveikalu tīklu Carrefour
Elektroauto uzlādes infrastruktūras attīstītājs “Eleport” un starptautiskais lielveikalu t…Bite Latvija Rīgā un reģionos atklāj 10 klientu apkalpošanas centrus, kas piekļūstami cilvēkiem ar funkcionāliem traucējumiem
Veicinot iekļaujošāku vidi, IKT pakalpojumu sniedzējs “Bite Latvija” līdz šim atklājis jau…
Ielādēt vairāk rakstus
No šī gada 1. jūlija Bite Latvija sāks piedāvāt optisko internetu, izmantojot Baltcom infrastruktūru
2024. gada 1. jūlijā tiks pabeigta “Bite Latvija” un “Baltcom” apvienošana, kā rezultātā “…Swedbank bankomātos sāk ieviest bezkontakta funkciju
Jau tagad Rīgā un citās Latvijas pilsētās ir pieejami vairāk nekā 20 ar bezkontakta funkci…Riga TechGirls saņem 500 000 eiro finansējumu, lai veicinātu digitālās prasmes un mākslīgā intelekta izmantošanu sieviešu vidū Latvijā
Kopiena Riga TechGirls, kas nodarbojas ar sieviešu iespējošanu tehnoloģiju jomā, ar sajūsm…RTU attīsta jaunu nanofotonikas pētniecības virzienu
Izveidojot Nanofotonikas zinātnisko laboratoriju, Rīgas Tehniskās universitātes (RTU) Dato…Eleport uzsāk sadarbību ar starptautisko lielveikalu tīklu Carrefour
Elektroauto uzlādes infrastruktūras attīstītājs “Eleport” un starptautiskais lielveikalu t…Bite Latvija Rīgā un reģionos atklāj 10 klientu apkalpošanas centrus, kas piekļūstami cilvēkiem ar funkcionāliem traucējumiem
Veicinot iekļaujošāku vidi, IKT pakalpojumu sniedzējs “Bite Latvija” līdz šim atklājis jau…
Load More By Jānis Alksnis
“Infosci” Tehnoloģiju startaps, kura jaunākajam dalībniekam ir 75
Uz papīra, kompānija “Infosci” izskatās tāpat kā liela daļa citu jauno uzņemum…“Apple” steidzas labot jaunu kļūmi
Tehnoloģiju gigants “Apple” ticis galā ar kļūdu, kura likusi visām ierīcēm sas…Pasaulē sākas jauna izspiedējvīrusa epidēmija
Šogad jau esam pieredzējuši divus plašus izspiedējvīrusu uzbrukumus — mēs runājam par bēdī…”Microsoft” paziņo par ”Windows 10 Fall Creators Update”
Microsoft paziņojis par nozīmīgo Windows 10 Fall Creators Update atjauninājumu, kas sniedz…''Microsoft'' paziņo par ''Windows 10 Fall Creators Update''
Microsoft paziņojis par nozīmīgo Windows 10 Fall Creators Update atjauninājumu, kas sniedz…Noslēgusies prestižākā programmatūras testēšanas konference Baltijā “TAPOST 2017”
Pulcējot teju 300 konferences dalībnieku no 12 pasaules valstīm, noslēgusies Baltijā vadoš…
Load More In Programmatūra
Komentāri ir slēgti
Iesakām izlasīt šādus rakstus
No šī gada 1. jūlija Bite Latvija sāks piedāvāt optisko internetu, izmantojot Baltcom infrastruktūru
2024. gada 1. jūlijā tiks pabeigta “Bite Latvija” un “Baltcom” apvienošana, kā rezultātā “…