ЛК обнаружила новую вредоносную программу для кибершпионажа

Александр Панасенко 27 Февраля 2013 - 19:45

Общее

Бэкдоры

Вредоносные программы

Эксплойты

Кибершпионаж

...

«Лаборатория Касперского» опубликовала отчёт об исследовании ряда инцидентов, произошедших на прошлой неделе и связанных с очередным примером кибершпионажа против правительственных учреждений и научных организаций по всему миру. В ходе атаки злоумышленники применили сочетание сложных вредоносных кодов «старой школы» вирусописательства и новых продвинутых технологий использования уязвимостей в Adobe Reader – и всё это для того, чтобы получить данные геополитического характера из соответствующих организаций.

Вредоносная программа MiniDuke распространялась при помощи недавно обнаруженного эксплойта для Adobe Reader (CVE-2013-6040). По данным исследования, проведенного «Лабораторией Касперского» совместно с венгерской компанией CrySys Lab, среди жертв кибершпионской программы MiniDuke оказались государственные учреждения Украины, Бельгии, Португалии, Румынии, Чехии и Ирландии. Кроме того, от действий киберпреступников пострадали исследовательский институт, два научно-исследовательскийх центра и медицинское учреждение в США, а также исследовательский фонд в Венгрии.

«Это очень необычная кибератака, – поясняет Евгений Касперский, генеральный директор «Лаборатории Касперского». – Я хорошо помню, что подобный стиль программирования в вредоносном ПО использовался в конце 1990-х-начале 2000-х. Пока не очень понятно, почему эти вирусописатели «проснулись» через 10 лет и присоединились к «продвинутым» киберпреступникам. Эти элитные писатели вредоносных программ старой закалки успешные в создании сложных вирусов сейчас совмещают свои способности с новыми методами ухода от защитных технологий для того, чтобы атаковать государственные учреждения и научные организации в разных странах».

«Созданный специально для этих атак бэкдор MiniDuke написан на Ассемблере и чрезвычайно мал– всего 20 Кб, – добавляет Евгений Касперский. – Сочетание опыта «олдскульных» вирусописателей с новейшими эксплойтами и хитрыми приёмами социальной инженерии – крайне опасная смесь».

В ходе исследования эксперты «Лаборатории Касперского» пришли к следующим выводам:

Авторы MiniDuke до сих пор продолжают свою активность, последний раз они модифицировали вредоносную программу 20 февраля 2013 года. Для проникновения в системы жертв киберпреступники использовали эффективные приёмы социальной инженерии, с помощью которых рассылали вредоносные PDF-документы. Эти документы представляли собой актуальный и хорошо подобранный набор сфабрикованного контента. В частности, они содержали информацию о семинаре по правам человека (ASEM), данные о внешней политике Украины, а также планы стран-участниц НАТО. Все эти документы содержали эксплойты, атакующие 9, 10 и 11 версии программыAdobe Reader. Для создания этих эксплойтов был использован тот же инструментарий, что и при недавних атаках, о которых сообщала компания FireEye. Однако в составе MiniDuke эти эксплойты использовались для других целей и содержали собственный вредоносный код.
При заражении системы на диск жертвы попадал небольшой загрузчик, размером всего 20 Кб. Он уникален для каждой системы и содержит бэкдор, написанный на Ассемблере. Кроме того, он умеет ускользать от инструментов анализа системы, встроенных в некоторые среды, в частности в VMWare. В случае обнаружения одного из них бэкдор приостанавливал свою деятельность с тем, чтобы скрыть своё присутствие в системе. Это говорит о том, что авторы вредоносной программы имеют четкое представление о том методах работы антивирусных компаний.
Если атакуемая система соответствует заданным требованиям, вредоносная программа будет (втайне от пользователя) использовать Twitter для поиска специальных твитов от заранее созданных акаунтов. Эти аккаунты были созданы операторами бэкдора MiniDuke, а твиты от них поддерживают специфические тэги, маркирующие зашифрованные URL-адреса для бэкдора. Эти URL-адреса предоставляют доступ к серверам управления, которые, в свою очередь, обеспечивают выполнение команд и установку бэкдоров на заражённую систему через GIF-файлы.
По результатам анализа стало известно, что создатели MiniDuke используют динамическую резервную систему коммуникации, которая также может ускользать от антивирусных средств защиты – если Twitter не работает или аккаунты неактивны, вредоносная программа может использовать Google Search для того чтобы найти зашифрованные ссылки к новым серверам управления.
Как только заражённая система устанавливает соединение с сервером управления, она начинает получать зашифрованные бэкдоры через GIF-файлы, которые маскируются под картинки на компьютере жертвы. После загрузки на машину, эти бэкдоры могут выполнять несколько базовых действий: копировать, перемещать или удалять файлы, создавать каталоги, останавливать процессы и, конечно, загружать и исполнять новые вредоносные программы.
Бэкдор выходит на связь с двумя серверами – в Панаме и Турции – для того чтобы получить инструкции от киберпреступников.

Следующая главная новость »

Кибератака на завод: как избежать простоя и убытков?
Регистрируйтесь на эфир!

Яков Шпунт 09 Июня 2026 - 15:53

Корпорации «Группа Астра»Аладдин

ГК Астра и Аладдин объединили доменное управление и PKI в Astra Server Core

ГК «Астра» и компания «Аладдин» объявили о стратегическом партнёрстве и представили комплексное решение Astra Server Core со встроенными средствами управления доменной инфраструктурой и центром сертификации Aladdin Enterprise CA (eCA). Продукт предназначен для управления сложными гетерогенными ИТ-инфраструктурами, объединяющими рабочие станции, серверы и другие устройства на различных программных платформах — как отечественных, так и зарубежных.

Как рассказал на пресс-конференции, посвящённой подписанию соглашения, директор серверного ПО «Группы Астра» Алексей Фоменко, первоначально компании планировали объявить о партнёрстве на конференции ЦИПР-2026, проходившей в мае.

Однако, по его словам, среди большого количества анонсов это событие могло остаться незамеченным, поэтому его решили вынести в отдельную повестку спустя несколько недель после завершения форума.

Алексей Фоменко напомнил, что во времена доминирования Microsoft на рынке инфраструктурного ПО решения вендора были частью единого технологического стека, что обеспечивало высокий уровень управляемости инфраструктуры.

После ухода компании с российского рынка и начала масштабного импортозамещения многие организации столкнулись с серьёзными сложностями. Для решения различных задач внедрялись продукты разных российских разработчиков, при этом часть систем на базе Windows продолжала использоваться. В результате в ряде компаний сформировалась разрозненная инфраструктура и так называемая лоскутная модель информационной безопасности.

К 2025–2026 годам у многих российских заказчиков сформировался запрос на платформенные решения, построенные на базе отечественных технологий. Это, в свою очередь, стимулировало создание технологических альянсов между разработчиками, одним из которых стало партнёрство ГК «Астра» и компании «Аладдин».

При разработке совместного решения стороны стремились обеспечить не только совместимость продуктов на момент запуска, но и её сохранение после обновлений. Ещё одной задачей стало создание безопасной инфраструктуры, готовой к использованию «из коробки».

Как отметил генеральный директор компании «Аладдин» Сергей Груздев, многие заказчики сегодня эксплуатируют гетерогенные инфраструктуры, в которых одновременно используются отечественные и зарубежные решения. При этом необходимо обеспечивать как безопасность, так и непрерывность работы систем, избегая появления единых точек отказа. По его словам, при построении подобных архитектур безопасность должна оставаться приоритетом, а функциональность — следовать за ней.

В состав Astra Server Core входят Astra Linux Server, служба каталогов ALD Pro, менеджер конфигураций ACM и корпоративный центр сертификации Aladdin Enterprise CA. В дальнейшем разработчики планируют дополнить платформу средствами защищённой групповой работы, модулем доверенной загрузки, инструментами многофакторной аутентификации и шифрования данных.

Astra Server Core уже доступна для предварительного заказа. Начало продаж запланировано на третий квартал 2026 года.

«Для инфраструктуры корпоративного уровня критически важен компонент, которого нам до сих пор не хватало, — полноценная PKI-инфраструктура. У компании "Аладдин" накоплена одна из самых глубоких экспертиз в этой области и сформирован широкий портфель решений. Это позволяет заказчикам не собирать доверенную архитектуру по частям и не сталкиваться с проблемами совместимости компонентов на протяжении жизненного цикла системы. Объединяя нашу серверную платформу с компетенциями "Аладдина" в области PKI, мы создаём решение, которого рынок ждал с момента ухода Microsoft. Это безопасная инфраструктура, где управление пользователями, устройствами и сертификатами работает как единая система», — отметил Алексей Фоменко.

«Чтобы доверие и безопасность стали фундаментом, а не надстройкой, они должны быть встроены в системное и инфраструктурное ПО, а проектирование ИТ-инфраструктуры должно начинаться с безопасной архитектуры. Объединив наши компетенции в области информационной безопасности с инфраструктурной экспертизой "Группы Астра", мы интегрировали PKI непосредственно в основу экосистемы. В результате заказчики получают комплексное решение, которое позволяет изначально строить защищённую и управляемую инфраструктуру», — прокомментировал Сергей Груздев.

К слову, в новом выпуске AM Подкаст разобрали, почему рынок переходит от отдельных продуктов к платформенным решениям, как стратегический альянс «Группы Астра» и «Аладдин» меняет подход к построению ИТ-инфраструктуры и почему заказчики больше не хотят быть интеграторами собственного «зоопарка» решений.

Кибератака на завод: как избежать простоя и убытков?
Регистрируйтесь на эфир!