Обзор сети Интернет

Интернет, социальные сети, популярные сервисы, электронная почта (e-mail) и еще немного информации о web-пространстве современного мира

Главное меню

Сострадательный хакер – необычное сообщение в коде вредоносной программы

PlugX – это вредоносный инструмент удаленного администрирования, позволяющие злоумышленникам управлять зараженными компьютерами без физического доступа.

Первый анализ специалистов из Лаборатории Касперского, посвященный этому инструменту был опубликован в конце 2012 года. Оно используется во многих атаках по всему миру, направленных, в частности, на военные, государственные и частные организации.

Недавно исследователи из «Лаборатории Касперского» провели анализ нового, необычного образца инструмента PlugX. Оказалось, что он был создан с помощью специального генератора, который позволяет злоумышленникам создавать исполняемые файлы, применяемые для заражения компьютеров. Они содержат легальный, с цифровой подписью исполняемый файл, лежащий в основе, и соответствующим образом модифицированную библиотеку, а также код вредителя, который запускается в самом конце.

Анализируя код файлов, созданных генераторов, исследователи обнаружили образец, внутри которого находились зашифрованные данные с использованием алгоритма шифрования RC4. Настоящим сюрпризом был ключ, используемый для расшифровки содержимого, – он выглядит следующим образом: SORRY.i_have_to_do_this, то есть: Извините, но я должен это сделать.

Фрагмент кода вредоносной программы, в котором хакер прости прощения

– Конечно, было удивительно обнаружить такое сообщение в коде вредоносной программы, которая используется во многих мощных атак, направленных на цели высокого уровня по всему миру. В прошлом исследовали инструмента PlugX заметили сходства в коде, которые предполагают, что их автором может быть один и тот же человек. Трудно сказать, проснулась ли у хакера совесть или это, своего рода, шутка, – сказал Дмитрий Тараканов, старший исследователь по вопросам ИТ-безопасности «Лаборатории Касперского».

Существует также ещё одна потенциальная причина появления этого сообщения – подготовка модуля, ответственного за шифрование, могло быть поручено другому программисту. При создании сложных кибер-агентов различные лица или группы отвечают за за отдельные аспекты функционирования вредоносной программы: выявление жертвы, инфицирование, обход защиты, загрузка модулей, шифрование и т.д. Следовательно, сообщение с извинением могло быть размещено кем-то, кто просто хорошо создал код, не зная, в каком контексте он будет использован, или был вынужден участвовать в кибер-преступной операции и имел искренние угрызения совести.



  • Категория:
  • Автор:
  • Рейтинг:
    5.0/1

Никто не решился оставить свой комментарий.
Будьте первым, поделитесь мнением с остальными.
avatar