Правительственный бэкдор использует Windows BITS, чтобы скрыть трафик

Олег Иванов 11 Сентября 2019 - 10:22

Домашние пользователи

...

Новый бэкдор, замеченный в атаках правительственных кибершпионов, использует компонент Windows BITS (Background Intelligent Transfer Service), чтобы скрыть трафик, которым он обменивается с командным сервером.

По словам исследователей в области кибербезопасности, им известна группировка, стоящая за новым бэкдором. Ее имя — Stealth Falcon. Активность этих злоумышленников эксперты отслеживают уже несколько лет.

На сегодняшний день единственный отчёт об операциях Stealth Falcon принадлежит экспертам Citizen Lab, некоммерческой организации, специализирующейся на защите прав человека. Отчёт датируется 2016 годом.

Специалисты Citizen Lab утверждают, что эта группа действует с 2012 года. Ранее в ее атаках использовался другой бэкдор, надписанный на PowerShell.

Однако в опубликованном 9 сентября исследовании экспертов ESET утверждается, что Stealth Falcon перешла на использование нового инструмента, причём он ещё более изощрённый и скрытный.

Основным методом, которым пользуется бэкдор для сокрытия своей деятельности в системе, является компонент Windows, известный под аббревиатурой BITS. BITS — служба фоновой передачи файлов, осуществляемая между клиентом и сервером.

Выявив новый троян, сотрудники ESET присвоили ему имя — Win32/StealthFalcon. По их словам, вредонос работает как стандартный бэкдор, позволяющий операторам загружать и запускать код или извлекать данные, оправляя их на сервер злоумышленников.

В ESET подчеркнули, что Win32/StealthFalcon взаимодействует с командным центром (C&C) не через классические HTTP- или HTTPS-запросы, а пряча трафик внутри BITS. Исследователи полагают, что такой подход позволяет преступникам обходить файрволы — ведь все привыкли, что трафик BITS содержит лишь обновления софта, поэтому чаще всего его игнорируют.

Следующая главная новость »

Публичное облако 2026: где заканчивается удобство и начинаются риски?
Регистрируйтесь на эфир!

Екатерина Быстрова 04 Июня 2026 - 12:19

Соответствие законодательству РФ Домашние пользователи Государство Персональный VPN Анонимайзеры Системы контентной веб-фильтрации

Операторы хотят вернуть россиянам доступ к Netflix и нейросетям без VPN

Российские операторы связи обсуждают с властями возможность открыть пользователям доступ к зарубежным сервисам, которые формально не заблокированы в России, но всё равно недоступны без VPN. Об этом на полях ПМЭФ рассказал генеральный директор «Билайна» Сергей Анохин.

По его словам, идея так называемых белых списков VPN, которую он ранее озвучивал публично, получила поддержку и теперь развивается дальше. Впрочем, речь идёт уже не совсем о VPN.

Как пояснил Анохин, операторы предлагают дать пользователям возможность напрямую открывать отдельные зарубежные сервисы, не прибегая к обходным инструментам. В качестве примеров он назвал Netflix и популярные нейросети.

«Есть сервисы, которые не подпали под ограничения со стороны Роскомнадзора за неисполнение российского законодательства, но приняли решение не работать в России. Например, ряд развлекательных сервисов, тот же Netflix, нейронные сети. Они востребованы российскими пользователями, но, чтобы ими пользоваться, нужен VPN», — отметил глава «Билайна».

Анохин считает, что у операторов есть понимание, как технически реализовать подобный механизм.

Если идея будет одобрена, может появиться своеобразный список зарубежных сервисов, доступ к которым российские пользователи смогут получать без VPN, несмотря на действующие географические ограничения со стороны самих площадок.

Фактически речь идёт о попытке решить парадоксальную ситуацию, когда сервис не запрещён российскими властями, но воспользоваться им всё равно нельзя без дополнительных инструментов.

Впрочем, до практической реализации пока далеко. Никаких сроков, перечня сервисов или технических деталей участники обсуждения не раскрывают.

Публичное облако 2026: где заканчивается удобство и начинаются риски?
Регистрируйтесь на эфир!