Инструмент АНБ позволяет детектировать другие киберпреступные группы

Инструмент АНБ позволяет детектировать другие киберпреступные группы

В опубликованных в прошлом году инструментах для взлома, принадлежащих АНБ США, была обнаружена интересная утилита, способная детектировать вредоносные программы, написанные другими кибершпионскими группами. Утилита получила имя «Territorial Dispute» («Территориальный спор»), ее задача заключалась в оповещении операторов АНБ о присутствии на взломанном компьютере программ других киберпреступных групп.

Такой инструмент позволял агентам АНБ вовремя принять решение об отступлении, так как заражение уже ранее взломанной машины могло поставить под угрозу раскрытие инструментов разведслужбы. Например, такое могло произойти, если другие киберпреступники, работающие на государство, уже установили свои инструменты в целевой системе.

Несмотря на то, что группа Shadow Brokers уже давно слила в Сеть инструменты АНБ, назначение утилиты Territorial Dispute оставалось неизвестным до недавнего времени, когда группа экспертов из Венгрии описала этот инструмент в отчете, представленном на конференции по безопасности Kaspersky SAS.

Главная причина, по которой эксперты так долго выясняли природу Territorial Dispute, связана с тем, что она была в той же партии утекших инструментов, в которой Shadow Brokers опубликовали эксплойт EternalBlue, который использовался в атаках WannaCry. Более того, в той партии были такие серьезные инструменты, как EternalRomance, EternalSynergy, FuzzBunch. Именно это стало причиной того, что исследователи не сразу обратили внимание на Territorial Dispute.

Сама Territorial Dispute не представляет серьезной угрозы, однако раскрывает некоторую информацию о методах АНБ. Из-за своего центрального положения на мировой политической арене США всегда ставили акцент на скрытность в попытках не нарушить дипломатические отношения со странами, которые были целью для взлома.

Если рассмотреть алгоритм работы Territorial Dispute, можно отметить схожие с работой антивируса черты. Сразу после заражения определенной машины оператор АНБ может использовать этот инструмент для сканирования хоста, что походит на сканирование антивирусной программой. Territorial Dispute будет искать в зараженной системе имена файлов и разделы реестров, характерные для вредоносных программ, использующихся другими правительственными хакерами.

Если утилита обнаруживает присутствие такой вредоносной программы, она отправляет оператору предупреждения, в которых содержатся рекомендации, например: «please pull back», «seek help immediately», «seek help ASAP», «friendly tool» и «dangerous malware».

Эксперты полагают, что этот инструмент используется АНБ не только для поиска инструментов оппонентов, но также и для поиска программ, принадлежащих дружественным группам.

Внутренний список файлов и ключей реестра, реализованный в Territorial Dispute, также организован в 45 различных категориях, от SIG1 до SIG45. Исследователи считают, что каждая категория - это внутреннее имя, которое NSA использует для других кибершпионских групп.

Таким образом, как выяснили специалисты, Territorial Dispute может детектировать программы таких киберпреступных групп, как Turla, Fancy Bear, Duqu, Stuxnet, Flame, Dark Hotel. Кроме этого, эксперты отметили неизвестные кодовые имена, что может говорить о том, что у АНБ есть информация о киберугрозах, о которых еще неизвестно в широких кругах.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

PyPI приостановил регистрацию новых пользователей из-за вредоноса

Популярный репозиторий Python Package Index (PyPI) ограничил возможность регистрации новых пользователей после масштабной вредоносной кампании по распространению трояна, похищающего данные.

PyPI — одно из первых мест, куда идут разработчики на Python, пытаясь найти нужные пакеты. Из-за популярности репозиторий не раз становился объектом внимания киберпреступников.

Именно такую кампанию злоумышленники запустили на днях, из-за чего администраторам PyPI пришлось приостановить регистрацию новых пользователей на площадке.

 

О кибероперации также написали исследователи из Checkmarx. По их словам, атакующие сразу начали с загрузки 365 пакетов, чьи имена были замаскированы под легитимные проекты.

Все злонамеренные пакеты включали вредоносный код в файле «setup.py», который выполнялся в процессе установки. Этот код пытается получить дополнительный пейлоад с удалённого сервера.

Для ухода от детектирования вредонос зашифрован с помощь модуля Fernet, а URL командного центра собирается динамически при необходимости.

Конечный пейлоад представляет собой троян, ворующий данные пользователей, сохранённые в браузерах: логины и пароли, cookies и крипторасширения.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru