Вредоносные программы для узкоспециализированных, или, как их еще называют, таргетированных атак, встречаются нечасто. В 2011 году компания «Доктор Веб» рассказывала о распространении троянца BackDoor.Dande, целенаправленно крадущего информацию у аптек и фармацевтических компаний.
Спустя четыре года был обнаружен троянец BackDoor.Hser.1, атаковавший оборонные предприятия. А в ноябре 2016 года специалисты «Доктор Веб» исследовали бэкдор, нацеленный на российские компании, занимающиеся строительными кранами.
Windows-троянца, получившего наименование BackDoor.Crane.1, злоумышленники использовали в ходе целенаправленной атаки на два крупнейших российских предприятия, занимающихся производством портальных и грузоподъемных кранов, а также сопутствующего оборудования. Это один из немногих случаев таргетированной атаки с применением вредоносного ПО, зафиксированных специалистами «Доктор Веб» за последнее время. Аналитики компании установили, что этот бэкдор и две другие вредоносные программы, которые он загружал на зараженные машины, в течение некоторого времени похищали с инфицированных компьютеров конфиденциальную информацию.
Основной целью злоумышленников были финансовые документы, договоры и деловая переписка сотрудников. Кроме того, троянцы с определенной периодичностью делали снимки экранов зараженных ПК и отправляли их на принадлежащий злоумышленникам управляющий сервер. Эти факты позволяют предположить, что российские производители строительных подъемных кранов стали жертвами недобросовестной конкурентной борьбы,
Далее мы кратко рассмотрим технические аспекты работы BackDoor.Crane.1.
После запуска троянец проверяет наличие на диске атакуемого компьютера конфигурационного файла и в случае отсутствия создает его. Вслед за этим BackDoor.Crane.1 загружает в память зараженной машины собственные модули и с определенными интервалами начинает обращаться к управляющему серверу за заданиями. Примечательно, что в процессе обмена информацией с командным центром троянец использует в качестве значения параметра User-Agent строку «RSDN HTTP Reader» — исходя из этого можно сделать вывод, что вирусописатели копировали фрагменты кода с сайта для разработчиков ПО rsdn.org.
BackDoor.Crane.1 имеет несколько модулей, которые могут быть установлены по команде злоумышленников. Каждый из них выполняет какую-либо конкретную задачу. Среди них:
выполнение переданной с управляющего сервера команды с использованием интерпретатора команд cmd;
скачивание файла по заданной ссылке и сохранение его в указанную папку на инфицированном компьютере;
составление и передача на управляющий сервер перечня содержимого заданной директории;
создание и передача на управляющий сервер снимка экрана;
загрузка файла на указанный злоумышленниками сервер с использованием протокола FTP;
загрузка файла на указанный злоумышленниками сервер с использованием протокола HTTP.
Специалисты «Доктор Веб» установили, что некоторые модули BackDoor.Crane.1 скачивали и устанавливали на зараженные компьютеры двух написанных на языке Python троянцев, добавленных в вирусные базы Dr.Web под именами Python.BackDoor.Crane.1 и Python.BackDoor.Crane.2. Бэкдор Python.BackDoor.Crane.1 обменивается с управляющим сервером информацией с использованием протокола HTTP и может выполнять практически тот же набор команд, что и BackDoor.Crane.1. К этому списку добавилось несколько новых функций:
получить список файлов и каталогов по заданному пути;
удалить указанные файлы;
прекратить работу указанных процессов;
скопировать заданные файлы;
передать на управляющий сервер список запущенных процессов, информацию об операционной системе и дисках зараженного ПК;
завершить собственную работу.
Вторая вредоносная программа — Python.BackDoor.Crane.2 — предназначена для выполнения на инфицированном компьютере полученного с управляющего сервера шелл-кода.
Мосгорсуд отменил запрет сайтов «ЯПлакалъ», «АнекдотовСтрит» и «Анекдотов.net». Суд вышестоящей инстанции удовлетворил апелляции, поданные Роскомнадзором и первым заместителем прокурора Москвы. Первоначальное решение было вынесено по обращению межрайонной прокуратуры.
Ресурсы обвинялись в распространении материалов, унижающих человеческое достоинство, а также направленных на разжигание национальной и расовой розни.
Чертановский суд Москвы вынес решение о запрете трёх ресурсов ещё 23 апреля, однако обнародовано оно было только 6 мая.
Это решение вызвало широкий резонанс. Руководство «ЯПлакалъ» в комментарии для «Газеты.Ru» заявило, что никаких претензий от властей к площадке не поступало, а сам запрет там встретили «с недоумением».
Роскомнадзор, однако, обратил внимание, что в решении суда не были указаны конкретные материалы и их сетевые адреса, содержащие незаконный контент. В результате ведомство не включило эти ресурсы в реестр запрещённых материалов, и сайты продолжили открываться. Кроме того, сетевой адрес «Анекдотов.net» в решении суда был указан с ошибкой.
Сегодня РИА Новости со ссылкой на источники сообщило, что прокуратура Москвы внесла апелляционное представление на решение Чертановского суда о запрете сайтов. По данным источника Lenta.ru в судебной системе, также не удалось обнаружить заключения экспертизы, на основании которого было принято решение о запрете ресурсов.
Позднее Мосгорсуд удовлетворил апелляции первого заместителя прокурора Москвы и Роскомнадзора, отменив решение Чертановского районного суда:
«Судебной коллегией по административным делам Московского городского суда решение суда первой инстанции отменено и принято новое решение, которым Чертановскому межрайонному прокурору в удовлетворении исковых требований отказано».
Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017 Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.
