PlugX – это вредоносный инструмент удаленного администрирования, позволяющие злоумышленникам управлять зараженными компьютерами без физического доступа.
Первый анализ специалистов из Лаборатории Касперского, посвященный этому инструменту был опубликован в конце 2012 года. Оно используется во многих атаках по всему миру, направленных, в частности, на военные, государственные и частные организации.
Недавно исследователи из «Лаборатории Касперского» провели анализ нового, необычного образца инструмента PlugX. Оказалось, что он был создан с помощью специального генератора, который позволяет злоумышленникам создавать исполняемые файлы, применяемые для заражения компьютеров. Они содержат легальный, с цифровой подписью исполняемый файл, лежащий в основе, и соответствующим образом модифицированную библиотеку, а также код вредителя, который запускается в самом конце.
Анализируя код файлов, созданных генераторов, исследователи обнаружили образец, внутри которого находились зашифрованные данные с использованием алгоритма шифрования RC4. Настоящим сюрпризом был ключ, используемый для расшифровки содержимого, – он выглядит следующим образом: SORRY.i_have_to_do_this, то есть: Извините, но я должен это сделать.
– Конечно, было удивительно обнаружить такое сообщение в коде вредоносной программы, которая используется во многих мощных атак, направленных на цели высокого уровня по всему миру. В прошлом исследовали инструмента PlugX заметили сходства в коде, которые предполагают, что их автором может быть один и тот же человек. Трудно сказать, проснулась ли у хакера совесть или это, своего рода, шутка, – сказал Дмитрий Тараканов, старший исследователь по вопросам ИТ-безопасности «Лаборатории Касперского».
Существует также ещё одна потенциальная причина появления этого сообщения – подготовка модуля, ответственного за шифрование, могло быть поручено другому программисту.
При создании сложных кибер-агентов различные лица или группы отвечают за за отдельные аспекты функционирования вредоносной программы: выявление жертвы, инфицирование, обход защиты, загрузка модулей, шифрование и т.д.
Следовательно, сообщение с извинением могло быть размещено кем-то, кто просто хорошо создал код, не зная, в каком контексте он будет использован, или был вынужден участвовать в кибер-преступной операции и имел искренние угрызения совести.
