Вирус в украинските правителствени мрежи остава неоткрит вече почти 10 години
Но по какъв начин хакерите са съумели да го прикрият и какви функционалности извършва той?
Емил Василев 9:42 | 22.04.2024 0 СподелиНай-четени
IT НовиниДаниел Десподов - 10:48 | 21.04.2024Няма да има потребност от петрол и газ: Япония през 2025 година ще изведе в орбита първия първообраз на слънчева електроцентрала
IT НовиниСветлин Желев - 0:57 | 21.04.2024Руската самолетна компания, чийто Airbus A320 се приземи в сибирско поле, се отхвърли от това да го избавя
Видео новиниЕмил Василев - 15:30 | 20.04.2024Учени от НАСА сътвориха „ безгоривен мотор “, който не се подчинява на законите на гравитацията
Емил Василевhttps://www.kaldata.com/Някои украински държавни мрежи са били инфектирани със злотворен програмен продукт, наименуван OfflRouter още през 2015 година. Изследователите от Cisco Talos са анализирали повече от 100 инфектирани файла, което им е разрешило да открият настоящата интензивност на вируса в Украйна.
Отличителна линия на OfflRouter е невъзможността му да се популяризира посредством е-поща. Вместо това вирусът се предава извънредно локално посредством продан на документи на сменяеми носители като USB флашки.
Този механизъм на разпространяване лимитира разпространяването на вируса единствено в Украйна, макар че доста понижава броя на засегнатите организации.
„ Вирусът към момента е деен в Украйна и води до качване на евентуално чувствителни документи в обществени файлови складове. “
споделя Ваня Суайзер, откривател по сигурността в Cisco Talos
Засега не е известно кой е виновен за този злотворен програмен продукт. Изследователите не са разкрили индикации дали е създаден в Украйна или от някъде отвън страната. Но който и да е той, той е разказан като извънредно находчив, въпреки и некомпетентен заради съществуването на няколко неточности в изходния код и несъвършеното покритие на офанзивите.
OfflRouter към този момент е забелязван няколко пъти от разнообразни организации за сигурност. През 2018 година за първи път за него заяви MalwareHunterTeam, а през 2021 година специалистите на CSIRT.SK изпратиха информация за инфектирани файлове непосредствено на уеб страницата на украинските киберспециалисти.
Въпреки това, 3 години по-късно, зловредният програмен продукт към момента работи сполучливо в държавните мрежи на страната. Неговият злотворен код и принцип на деяние не са се трансформирали от този момент. VBA макроси, вградени в документи на Microsoft Word нулират изпълнимия.NET файл с име „ ctrlpanel.exe “, който по-късно заразява всички „.doc “ файлове, открити на компютъра и обвързваните с него портативни носители, без да визира „.docx “ документи или други файлови формати.
Странно е, че фокусът на OfflRouter е единствено върху „.doc “ файлове. Това доста понижава броя на евентуално потребните документи, които могат да бъдат изтеглени от нападателите. Вероятно това са имали поради експертите от Talos, когато са говорили за несъвършеното покритие на офанзивата.
Една от функционалностите на OfflRouter е опцията да прави промени в систематичния указател на Windows, с цел да започва автоматизирано злоумишлен модул при всяко зареждане на системата. Това, дружно с външните модули, чакащи на сменяеми носители, разрешава на вируса да се популяризира дейно и да остане неоткриваем.
Освен това, когато заразява документи, вирусът употребява комплицирани способи за инспекция на към този момент инфектирани файлове. Това отстрани опцията за наново заразяване.
Заслужава да се означи, че в издания на Microsoft Office, популяризирани през последните години, Microsoft стартира да блокира стартирането на макроси по дифолт. Така жертвата би трябвало да ги задейства ръчно, с цел да болести компютъра си.
Въпреки това доста организации в Украйна, в това число държавни, може би към момента употребяват по-стари версии на Microsoft Office. Това може да значи, че OfflRouter ще продължи да бъде деен, до момента в който киберспециалистите не се заемат с казуса допустимо най-внимателно.
Освен това хакерите от дълго време употребяват хитри похвати на общественото инженерство в своите офанзиви, като да вземем за пример проявление на подправени вести, че наличието на даден файл не може да бъде прегледано, до момента в който не се задействат макроси. Всичко това се прави, с цел да се заобиколят рестриктивните мерки на Microsoft и сполучливо да се болести целевият компютър.
Ситуацията с OfflRouter ясно демонстрира нуждата от непрестанно модернизиране на защитните ограничения, по-тясно съдействие сред специалистите по киберсигурност и актуализиране на софтуера в държавните организации, с цел да се противодейства на разрастващите се закани.
