Доктор Веб обнаружил троянца, интересующегося строительными кранами

Александр Панасенко 17 Ноября 2016 - 19:33

...

Доктор Веб обнаружил троянца, интересующегося строительными кранами

Вредоносные программы для узкоспециализированных, или, как их еще называют, таргетированных атак, встречаются нечасто. В 2011 году компания «Доктор Веб» рассказывала о распространении троянца BackDoor.Dande, целенаправленно крадущего информацию у аптек и фармацевтических компаний.

Спустя четыре года был обнаружен троянец BackDoor.Hser.1, атаковавший оборонные предприятия. А в ноябре 2016 года специалисты «Доктор Веб» исследовали бэкдор, нацеленный на российские компании, занимающиеся строительными кранами.

Windows-троянца, получившего наименование BackDoor.Crane.1, злоумышленники использовали в ходе целенаправленной атаки на два крупнейших российских предприятия, занимающихся производством портальных и грузоподъемных кранов, а также сопутствующего оборудования. Это один из немногих случаев таргетированной атаки с применением вредоносного ПО, зафиксированных специалистами «Доктор Веб» за последнее время. Аналитики компании установили, что этот бэкдор и две другие вредоносные программы, которые он загружал на зараженные машины, в течение некоторого времени похищали с инфицированных компьютеров конфиденциальную информацию.

Основной целью злоумышленников были финансовые документы, договоры и деловая переписка сотрудников. Кроме того, троянцы с определенной периодичностью делали снимки экранов зараженных ПК и отправляли их на принадлежащий злоумышленникам управляющий сервер. Эти факты позволяют предположить, что российские производители строительных подъемных кранов стали жертвами недобросовестной конкурентной борьбы, пишет news.drweb.ru.

Далее мы кратко рассмотрим технические аспекты работы BackDoor.Crane.1.

В ресурсах троянца вирусные аналитики обнаружили окно «О проекте Bot», которое при работе вредоносной программы не отображается на экране, — вероятно, вирусописатели забыли его удалить при заимствовании кода. Оно содержит строку «Copyright © 2015», однако текущая версия бэкдора была скомпилирована вирусописателями 21 апреля 2016 года.

BackDoor.Crane.1 #drweb

После запуска троянец проверяет наличие на диске атакуемого компьютера конфигурационного файла и в случае отсутствия создает его. Вслед за этим BackDoor.Crane.1 загружает в память зараженной машины собственные модули и с определенными интервалами начинает обращаться к управляющему серверу за заданиями. Примечательно, что в процессе обмена информацией с командным центром троянец использует в качестве значения параметра User-Agent строку «RSDN HTTP Reader» — исходя из этого можно сделать вывод, что вирусописатели копировали фрагменты кода с сайта для разработчиков ПО rsdn.org.

BackDoor.Crane.1 имеет несколько модулей, которые могут быть установлены по команде злоумышленников. Каждый из них выполняет какую-либо конкретную задачу. Среди них:

выполнение переданной с управляющего сервера команды с использованием интерпретатора команд cmd;
скачивание файла по заданной ссылке и сохранение его в указанную папку на инфицированном компьютере;
составление и передача на управляющий сервер перечня содержимого заданной директории;
создание и передача на управляющий сервер снимка экрана;
загрузка файла на указанный злоумышленниками сервер с использованием протокола FTP;
загрузка файла на указанный злоумышленниками сервер с использованием протокола HTTP.

Специалисты «Доктор Веб» установили, что некоторые модули BackDoor.Crane.1 скачивали и устанавливали на зараженные компьютеры двух написанных на языке Python троянцев, добавленных в вирусные базы Dr.Web под именами Python.BackDoor.Crane.1 и Python.BackDoor.Crane.2. Бэкдор Python.BackDoor.Crane.1 обменивается с управляющим сервером информацией с использованием протокола HTTP и может выполнять практически тот же набор команд, что и BackDoor.Crane.1. К этому списку добавилось несколько новых функций:

получить список файлов и каталогов по заданному пути;
удалить указанные файлы;
прекратить работу указанных процессов;
скопировать заданные файлы;
передать на управляющий сервер список запущенных процессов, информацию об операционной системе и дисках зараженного ПК;
завершить собственную работу.

Вторая вредоносная программа — Python.BackDoor.Crane.2 — предназначена для выполнения на инфицированном компьютере полученного с управляющего сервера шелл-кода.

Следующая главная новость »

Удалённый доступ 2026: почему VPN устарел и что вместо него?
Регистрируйтесь на эфир!

Яков Шпунт 08 Мая 2026 - 13:38

GenAI (генеративный искусственный интеллект)Соответствие законодательству РФ Общее

Владельцев сайтов избавили от необходимости маркировки ИИ-контента

Из законопроекта о регулировании искусственного интеллекта (ИИ), разработанного Минцифры, убрали требование о маркировке контента, сгенерированного нейросетевыми инструментами, для владельцев онлайн-площадок. Это положение вызывало резкую критику со стороны маркетплейсов и крупных цифровых платформ.

В первоначальной версии законопроекта Минцифры владельцы онлайн-площадок должны были маркировать контент, созданный с помощью ИИ.

Маркировка должна была включать два элемента: видимое обозначение, отображаемое при просмотре или воспроизведении, а также машиночитаемую метку в метаданных.

По оценке АНО «Цифровая экономика», участниками которой являются многие цифровые платформы, выполнение этой нормы потребовало бы от владельцев онлайн-площадок фактически ручной модерации контента. Автоматизированных инструментов, которые позволяют с достаточной достоверностью выявлять такой контент без участия человека, пока нет. Это привело бы к значительным затратам.

Директор по стратегическим проектам Института исследований интернета Ирина Левова в комментарии для «Известий» сравнила целесообразность такой нормы с требованием маркировать музыку, исполненную на синтезаторе:

«Тратить огромные деньги на определение способа создания контента, который сам по себе не обязательно плох или хорош, бессмысленно. В законопроекте осталась обязанность платформ предоставить пользователям возможность сообщить, что при его создании использован ИИ. Такая модель стимулирует нормальный ответственный подход пользователей».

В RWB (Wildberries & Russ) газете назвали такую маркировку не имеющей практической ценности. По мнению компании, она могла бы усложнить пользовательский опыт и снизить удовлетворённость пользователей сервисами. Кроме того, подобные меры могут создать необоснованные барьеры для уже внедрённых решений и в целом замедлить развитие технологий ИИ.

Эксперт НТИ по технологиям ИИ Леонид Дробышевич также отметил, что необходимость маркировки порождает много вопросов, на которые не всегда можно дать однозначные ответы:

«Например, считать ли ИИ-контентом текст, который человек написал сам, но исправил с помощью нейросети? Или видео, где ИИ использовался только для шумоподавления и монтажа? Без чётких технологических критериев платформы были бы вынуждены либо модерировать с запасом, удаляя сомнительные материалы, либо массово игнорировать нарушения. Оба сценария создают риски, например чрезмерной цензуры и недовольства пользователей».

«Мера была смягчена по итогам обсуждения законопроекта с бизнес-сообществом, — прокомментировали «Известиям» в аппарате вице-премьера Дмитрия Григоренко. — Согласно текущей версии документа, обязанность по машиночитаемой маркировке аудиовизуального контента, сгенерированного с помощью ИИ, лежит на владельцах ИИ-сервисов, а конкретные случаи обязательной маркировки будут определяться правительством».

В целом, как отметил источник издания, близкий к правительству, целью поправок было снижение нагрузки на бизнес. По данным другого источника, финальный вариант законопроекта планируется внести в Госдуму до середины июля.

Удалённый доступ 2026: почему VPN устарел и что вместо него?
Регистрируйтесь на эфир!