Pētot bīstamo banku Trojas zirgu Lurk, Kaspersky Lab drošības eksperti atklāja, ka šo ļaunprogrammatūru pārvaldošie noziedznieki inficēšanai ir izmantojuši leģitīmu programmatūru. Kad lietotāji bez jebkādām aizdomām instalēja leģitīmu tālpieejas programmatūru no tās izstrādātāja oficiālās tīmekļa vietnes ammyy.com, viņi negribot bija ļāvuši savos datoros iekļūt ļaunprogrammatūrai.
Banda Lurk tika apcietināta Krievijā 2016. gada jūnija sākumā, un tā izmantoja daudzlīmeņu Trojas zirgu ar tādu pašu nosaukumu. Tiek ziņots, ka ar tā palīdzību bandai ir izdevies nozagt bankām, citām finanšu iestādēm un uzņēmumiem valstī 45 miljonus dolāru.
Lai izplatītu ļaunprogrammatūru, banda izmantoja dažādus ļaunprātīgus paņēmienus, tostarp dzeramvietas (watering hole) uzbrukumus, kad leģitīma tīmekļa vietne tiek uzlauzta un inficēta ar mūķiem, kas pēc tam inficē upura datoru ar ļaunprogrammatūru. Viens no Lurk veikto dzeramvietas uzbrukumu piemēriem bija īpaši interesants, jo tajā bija iesaistīti nevis mūķi, bet gan leģitīma programmatūra.
Veicot Lurk tehnisko analīzi, Kaspersky Lab eksperti pamanīja interesantu sakarību — daudziem ļaunprogrammatūras upuriem datoros bija instalēts attālās darbvirsmas rīks Ammyy Admin. Šis rīks ir samērā populārs uzņēmumu sistēmas administratoru vidū, jo tas ļauj viņiem attālināti strādāt ar savas organizācijas IT infrastruktūru. Bet kāda ir šī rīka un ļaunprogrammatūras saistība?
Lai saņemtu atbildi uz šo jautājumu, Kaspersky Lab eksperti apmeklēja Ammyy Admin oficiālo tīmekļa vietni un mēģināja lejupielādēt šo programmatūru. Tas viņiem izdevās, bet no tīmekļa vietnes iegūtās programmatūras analīze parādīja, ka kopā ar tīru tālpieejas rīku ir lejupielādēts arī Trojas zirgs Lurk. Šīs stratēģijas pamatojums ir skaidrs: upuris diez vai pamanīs ļaunprogrammatūras instalēšanu, jo sakarā ar tālpiekļuves programmatūras būtību daži antivīrusu risinājumi to uzskata par ļaunprātīgu vai bīstamu. To zinot, IT dienestu speciālisti uzņēmumos ne vienmēr pievērš pienācīgu uzmanību drošības risinājumu brīdinājumiem, daudzi uzskatītu, ka tā ir viltus trauksme, ja viņu antivīrusu risinājums to konstatētu. Lietotāji nesaprata, ka ļaunprogrammatūra patiešām ir lejupielādēta un instalēta viņu datoros.
Kaspersky Lab informācija liecina, ka Trojas zirgs Lurk tika izplatīts caur ammyy.com kopš 2016. gada februāra sākuma. Uzņēmuma pētnieki uzskata, ka uzbrucēji izmantoja trūkumus Ammyy Admin tīmekļa vietnes drošības sistēmā, lai pievienotu ļaunprogrammatūru tālpieejas programmatūras instalācijas arhīvam. Kaspersky Lab eksperti informēja tīmekļa vietnes īpašniekus par incidentu uzreiz pēc tā pamanīšanas, un viņi acīmredzot novērsa problēmu.
Tomēr 2016. gada aprīļa sākumā Ammyy tīmekļa vietnē tika konstatēta vēl viena Trojas zirga Lurk versija. Šoreiz krāpnieki bija sākuši izplatīt nedaudz modificētu Trojas zirgu, kas automātiski pārbaudīja, vai upura dators ir daļa no uzņēmuma tīkla. Ļaunprogrammatūra tika instalēta tikai tad, ja tika apstiprināta uzņēmuma tīkla klātbūtne, tādējādi padarot tās uzbrukumus daudz mērķtiecīgākus.
Kaspersky Lab eksperti atkal ziņoja par šīm aizdomīgajām darbībām un saņēma uzņēmuma atbildi, ka problēma ir atrisināta. Tomēr 2016. gada 1. jūnijā mēs konstatējām citu, jaunu Trojas zirgu Fareit, kas bija ieviests šajā tīmekļa vietnē. Šoreiz ļaunprogrammatūra bija paredzēta lietotāju personīgās informācijas zagšanai. Arī par to tika paziņots tīmekļa vietnes īpašniekiem.
Pašlaik vietne nemitina šo ļaunprogrammatūru.
«Leģitīmas programmatūras izmantošana noziedzīgos nolūkos ir ļoti efektīvs ļaunprogrammatūru izplatīšanas paņēmiens. Pirmām kārtām tāpēc, ka kibernoziedznieki var izmantot lietotāju priekšstatus par viņu lejupielādējamās leģitīmās programmatūras drošumu. Lejupielādējot un instalējot programmatūru no pazīstamiem izstrādātājiem, lietotāji nedomā par iespēju, ka tai varētu būt ļaunprātīgi pielikumi. Tādējādi kibernoziedzniekiem ir daudz vieglāk piekļūt saviem mērķiem un ievērojami palielinās viņu upuru skaits,» brīdina Kaspersky Lab ļaunprogrammatūru analītiķis Vasilijs Berdņikovs.
Lai samazinātu šāda veida uzbrukumu risku, IT dienestiem ir nepārtraukti jāpārbauda ievainojamības savā organizācijā un jāapvieno tas ar uzticama drošības risinājuma ieviešanu un informētības par kiberdrošību paaugstināšanu darbinieku vidū.
Vairāk informācijas un uzbrukuma specifikācijas var atrast rakstā tīmekļa vietnē Securelist.
Trojas zirga Lurk funkcionalitātes detalizēts apraksts ir pieejams šeit.
Sākums Programmatūra Bandas Lurk Trojas zirga izplatīšanai ir izmantota leģitīma tālpieejas programmatūra
MikroTik un Tet nodrošinās zinātniekiem 400 gigabitu savienojumu cīņai
Latvijas tehnoloģiju inovāciju uzņēmumi MikroTik un Tet izveidojuši jaunus lieljaudas…Tet izveido pirmo kvantu tīkla savienojumu
Tehnoloģiju un inovāciju uzņēmums Tet pēc vairāku mēnešu darba ir izveidojis pirmo datu pā…Klimata un enerģētikas ministrija pilnveido atbalsta programmu elektroauto un hibrīdauto iegādei
Gan jaunu, gan lietotu elektroauto un jaunu hibrīdauto iegādes iespējas tiks nodrošinātas …IT Waffle Meetup tīklošanās pasākums norisināsies arī Cēsīs
Trešdien, 3. aprīlī pulksten 18.00 aicina uz informācijas tehnoloģiju (IT) jomas tīklošanā…Latvijā izsniegtās e-receptes būs iespējams izmantot ārvalstīs
Latvija uzsākusi pārrobežu e-recepšu datu apmaiņu ar noteiktām dalībvalstīm, lai nodrošinā…Revolut sāk piedāvāt eSIM pakalpojumu
Revolut, globālā finanšu lietotne ar vairāk nekā 40 millioniem klientu visā pasaulē un 300…
Ielādēt vairāk rakstus
MikroTik un Tet nodrošinās zinātniekiem 400 gigabitu savienojumu cīņai
Latvijas tehnoloģiju inovāciju uzņēmumi MikroTik un Tet izveidojuši jaunus lieljaudas…Tet izveido pirmo kvantu tīkla savienojumu
Tehnoloģiju un inovāciju uzņēmums Tet pēc vairāku mēnešu darba ir izveidojis pirmo datu pā…Klimata un enerģētikas ministrija pilnveido atbalsta programmu elektroauto un hibrīdauto iegādei
Gan jaunu, gan lietotu elektroauto un jaunu hibrīdauto iegādes iespējas tiks nodrošinātas …IT Waffle Meetup tīklošanās pasākums norisināsies arī Cēsīs
Trešdien, 3. aprīlī pulksten 18.00 aicina uz informācijas tehnoloģiju (IT) jomas tīklošanā…Latvijā izsniegtās e-receptes būs iespējams izmantot ārvalstīs
Latvija uzsākusi pārrobežu e-recepšu datu apmaiņu ar noteiktām dalībvalstīm, lai nodrošinā…Revolut sāk piedāvāt eSIM pakalpojumu
Revolut, globālā finanšu lietotne ar vairāk nekā 40 millioniem klientu visā pasaulē un 300…
Load More By Jānis Alksnis
“Infosci” Tehnoloģiju startaps, kura jaunākajam dalībniekam ir 75
Uz papīra, kompānija “Infosci” izskatās tāpat kā liela daļa citu jauno uzņemum…“Apple” steidzas labot jaunu kļūmi
Tehnoloģiju gigants “Apple” ticis galā ar kļūdu, kura likusi visām ierīcēm sas…Pasaulē sākas jauna izspiedējvīrusa epidēmija
Šogad jau esam pieredzējuši divus plašus izspiedējvīrusu uzbrukumus — mēs runājam par bēdī…”Microsoft” paziņo par ”Windows 10 Fall Creators Update”
Microsoft paziņojis par nozīmīgo Windows 10 Fall Creators Update atjauninājumu, kas sniedz…''Microsoft'' paziņo par ''Windows 10 Fall Creators Update''
Microsoft paziņojis par nozīmīgo Windows 10 Fall Creators Update atjauninājumu, kas sniedz…Noslēgusies prestižākā programmatūras testēšanas konference Baltijā “TAPOST 2017”
Pulcējot teju 300 konferences dalībnieku no 12 pasaules valstīm, noslēgusies Baltijā vadoš…
Load More In Programmatūra
Komentāri ir slēgti
Iesakām izlasīt šādus rakstus
MikroTik un Tet nodrošinās zinātniekiem 400 gigabitu savienojumu cīņai
Latvijas tehnoloģiju inovāciju uzņēmumi MikroTik un Tet izveidojuši jaunus lieljaudas…