Pētot bīstamo banku Trojas zirgu Lurk, Kaspersky Lab drošības eksperti atklāja, ka šo ļaunprogrammatūru pārvaldošie noziedznieki inficēšanai ir izmantojuši leģitīmu programmatūru. Kad lietotāji bez jebkādām aizdomām instalēja leģitīmu tālpieejas programmatūru no tās izstrādātāja oficiālās tīmekļa vietnes ammyy.com, viņi negribot bija ļāvuši savos datoros iekļūt ļaunprogrammatūrai.

Banda Lurk tika apcietināta Krievijā 2016. gada jūnija sākumā, un tā izmantoja daudzlīmeņu Trojas zirgu ar tādu pašu nosaukumu. Tiek ziņots, ka ar tā palīdzību bandai ir izdevies nozagt bankām, citām finanšu iestādēm un uzņēmumiem valstī 45 miljonus dolāru.

Lai izplatītu ļaunprogrammatūru, banda izmantoja dažādus ļaunprātīgus paņēmienus, tostarp dzeramvietas (watering hole) uzbrukumus, kad leģitīma tīmekļa vietne tiek uzlauzta un inficēta ar mūķiem, kas pēc tam inficē upura datoru ar ļaunprogrammatūru. Viens no Lurk veikto dzeramvietas uzbrukumu piemēriem bija īpaši interesants, jo tajā bija iesaistīti nevis mūķi, bet gan leģitīma programmatūra.

Veicot Lurk tehnisko analīzi, Kaspersky Lab eksperti pamanīja interesantu sakarību — daudziem ļaunprogrammatūras upuriem datoros bija instalēts attālās darbvirsmas rīks Ammyy Admin. Šis rīks ir samērā populārs uzņēmumu sistēmas administratoru vidū, jo tas ļauj viņiem attālināti strādāt ar savas organizācijas IT infrastruktūru. Bet kāda ir šī rīka un ļaunprogrammatūras saistība?

Lai saņemtu atbildi uz šo jautājumu, Kaspersky Lab eksperti apmeklēja Ammyy Admin oficiālo tīmekļa vietni un mēģināja lejupielādēt šo programmatūru. Tas viņiem izdevās, bet no tīmekļa vietnes iegūtās programmatūras analīze parādīja, ka kopā ar tīru tālpieejas rīku ir lejupielādēts arī Trojas zirgs Lurk. Šīs stratēģijas pamatojums ir skaidrs: upuris diez vai pamanīs ļaunprogrammatūras instalēšanu, jo sakarā ar tālpiekļuves programmatūras būtību daži antivīrusu risinājumi to uzskata par ļaunprātīgu vai bīstamu. To zinot, IT dienestu speciālisti uzņēmumos ne vienmēr pievērš pienācīgu uzmanību drošības risinājumu brīdinājumiem, daudzi uzskatītu, ka tā ir viltus trauksme, ja viņu antivīrusu risinājums to konstatētu. Lietotāji nesaprata, ka ļaunprogrammatūra patiešām ir lejupielādēta un instalēta viņu datoros.

Kaspersky Lab informācija liecina, ka Trojas zirgs Lurk tika izplatīts caur ammyy.com kopš 2016. gada februāra sākuma. Uzņēmuma pētnieki uzskata, ka uzbrucēji izmantoja trūkumus Ammyy Admin tīmekļa vietnes drošības sistēmā, lai pievienotu ļaunprogrammatūru tālpieejas programmatūras instalācijas arhīvam. Kaspersky Lab eksperti informēja tīmekļa vietnes īpašniekus par incidentu uzreiz pēc tā pamanīšanas, un viņi acīmredzot novērsa problēmu.

Tomēr 2016. gada aprīļa sākumā Ammyy tīmekļa vietnē tika konstatēta vēl viena Trojas zirga Lurk versija. Šoreiz krāpnieki bija sākuši izplatīt nedaudz modificētu Trojas zirgu, kas automātiski pārbaudīja, vai upura dators ir daļa no uzņēmuma tīkla. Ļaunprogrammatūra tika instalēta tikai tad, ja tika apstiprināta uzņēmuma tīkla klātbūtne, tādējādi padarot tās uzbrukumus daudz mērķtiecīgākus.

Kaspersky Lab eksperti atkal ziņoja par šīm aizdomīgajām darbībām un saņēma uzņēmuma atbildi, ka problēma ir atrisināta. Tomēr 2016. gada 1. jūnijā mēs konstatējām citu, jaunu Trojas zirgu Fareit, kas bija ieviests šajā tīmekļa vietnē. Šoreiz ļaunprogrammatūra bija paredzēta lietotāju personīgās informācijas zagšanai. Arī par to tika paziņots tīmekļa vietnes īpašniekiem.

Pašlaik vietne nemitina šo ļaunprogrammatūru.

«Leģitīmas programmatūras izmantošana noziedzīgos nolūkos ir ļoti efektīvs ļaunprogrammatūru izplatīšanas paņēmiens. Pirmām kārtām tāpēc, ka kibernoziedznieki var izmantot lietotāju priekšstatus par viņu lejupielādējamās leģitīmās programmatūras drošumu. Lejupielādējot un instalējot programmatūru no pazīstamiem izstrādātājiem, lietotāji nedomā par iespēju, ka tai varētu būt ļaunprātīgi pielikumi. Tādējādi kibernoziedzniekiem ir daudz vieglāk piekļūt saviem mērķiem un ievērojami palielinās viņu upuru skaits,» brīdina Kaspersky Lab ļaunprogrammatūru analītiķis Vasilijs Berdņikovs.

Lai samazinātu šāda veida uzbrukumu risku, IT dienestiem ir nepārtraukti jāpārbauda ievainojamības savā organizācijā un jāapvieno tas ar uzticama drošības risinājuma ieviešanu un informētības par kiberdrošību paaugstināšanu darbinieku vidū.

Vairāk informācijas un uzbrukuma specifikācijas var atrast rakstā tīmekļa vietnē Securelist.

Trojas zirga Lurk funkcionalitātes detalizēts apraksts ir pieejams šeit.

Komentāri 5

Leave a Reply

  • japs
    July 21, 2016, 22:17

    un ja tulkojiet, tad ne tik ļoti – tik tehniski sarežģītus tekstus pilnībā iztulkojot sanāk ļoti liels galvas lauzējs – praktiski neiespējami lasīt..

  • Smaragds
    July 21, 2016, 11:17

    Tak netulkojiet to stulbumu, vnk drausmiigs info naak no karspersky. Veel lielaaku uudeni un neinformaaciju tikai tvnetaa var uznjemt.