Правительственный бэкдор использует Windows BITS, чтобы скрыть трафик

Олег Иванов 11 Сентября 2019 - 10:22

Домашние пользователи

...

Новый бэкдор, замеченный в атаках правительственных кибершпионов, использует компонент Windows BITS (Background Intelligent Transfer Service), чтобы скрыть трафик, которым он обменивается с командным сервером.

По словам исследователей в области кибербезопасности, им известна группировка, стоящая за новым бэкдором. Ее имя — Stealth Falcon. Активность этих злоумышленников эксперты отслеживают уже несколько лет.

На сегодняшний день единственный отчёт об операциях Stealth Falcon принадлежит экспертам Citizen Lab, некоммерческой организации, специализирующейся на защите прав человека. Отчёт датируется 2016 годом.

Специалисты Citizen Lab утверждают, что эта группа действует с 2012 года. Ранее в ее атаках использовался другой бэкдор, надписанный на PowerShell.

Однако в опубликованном 9 сентября исследовании экспертов ESET утверждается, что Stealth Falcon перешла на использование нового инструмента, причём он ещё более изощрённый и скрытный.

Основным методом, которым пользуется бэкдор для сокрытия своей деятельности в системе, является компонент Windows, известный под аббревиатурой BITS. BITS — служба фоновой передачи файлов, осуществляемая между клиентом и сервером.

Выявив новый троян, сотрудники ESET присвоили ему имя — Win32/StealthFalcon. По их словам, вредонос работает как стандартный бэкдор, позволяющий операторам загружать и запускать код или извлекать данные, оправляя их на сервер злоумышленников.

В ESET подчеркнули, что Win32/StealthFalcon взаимодействует с командным центром (C&C) не через классические HTTP- или HTTPS-запросы, а пряча трафик внутри BITS. Исследователи полагают, что такой подход позволяет преступникам обходить файрволы — ведь все привыкли, что трафик BITS содержит лишь обновления софта, поэтому чаще всего его игнорируют.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Яков Шпунт 29 Июля 2025 - 18:58

Сбои программ Сбои оборудования Общее

У Почты России наблюдаются сбои в работе сайта и онлайн-сервисов

Сегодня пользователи из разных регионов России сообщили о сбоях в работе сайта «Почты России». Как отмечают пользователи, сайт не открывается ни в десктопной, ни в мобильной версии. Также наблюдаются проблемы с авторизацией и доступом к сервису отслеживания отправлений.

Согласно данным Downdetector, массовые жалобы начали поступать около 17:00 по московскому времени. Пользователи сообщали либо о невозможности загрузить сайт, либо о сбоях в работе его отдельных функций.

Наибольшее количество обращений поступило от жителей Москвы, Санкт-Петербурга, а также регионов Северо-Запада, включая Калининградскую и Ленинградскую области и Карелию.

В то же время, как отмечает издание MSK1.RU, мобильное приложение «Почты России» продолжало работать. По данным издания, примерно в 17:45 сайт начал снова открываться.

«Отставить панику! Сайт, мобильное приложение — всё надёжно, безопасно, под контролем», — заявили в официальном телеграм-канале «Почты России». Причины сбоев компания раскрывать не стала.

Между тем 28 июля возникли серьёзные проблемы в ИТ-инфраструктуре аптечной сети «Столички». Сначала перестали работать онлайн-сервисы, а 29 июля сбой затронул кассовую и учётную системы, в результате чего часть аптек в Москве была закрыта.

Тем же днём стало известно о кибератаке на «Аэрофлот». Ответственность за неё взяла на себя группировка Silent Crow. По оценке, только за 28 июля прямые убытки компании составили более 250 млн рублей.