Обнаружен бэкдор, нацеленный на российских производителей строительных кранов

Безопасность Стратегия безопасности Интернет
мобильная версия
, Текст: Татьяна Короткова

Компания «Доктор Веб» в ноябре 2016 г. исследовала бэкдор, нацеленный на российские компании, занимающиеся производством строительных кранов.

Как рассказали CNews в «Доктор Веб», Windows-троян, получивший наименование BackDoor.Crane.1, злоумышленники использовали в ходе целенаправленной атаки на два крупнейших российских предприятия, занимающихся производством портальных и грузоподъемных кранов, а также сопутствующего оборудования. Это один из немногих случаев таргетированной атаки с применением вредоносного ПО, зафиксированных специалистами «Доктор Веб» за последнее время.

Аналитики компании установили, что этот бэкдор и две другие вредоносные программы, которые он загружал на зараженные машины, в течение некоторого времени похищали с инфицированных компьютеров конфиденциальную информацию. Основной целью злоумышленников были финансовые документы, договоры и деловая переписка сотрудников. Кроме того, трояны с определенной периодичностью делали снимки экранов зараженных ПК и отправляли их на принадлежащий злоумышленникам управляющий сервер. Эти факты позволяют предположить, что российские производители строительных подъемных кранов стали жертвами недобросовестной конкурентной борьбы.

В ресурсах трояна вирусные аналитики обнаружили окно «О проекте Bot», которое при работе вредоносной программы не отображается на экране — вероятно, вирусописатели забыли его удалить при заимствовании кода. Оно содержит строку «Copyright © 2015», однако текущая версия бэкдора была скомпилирована вирусописателями 21 апреля 2016 г., указали в компании.

После запуска троян проверяет наличие на диске атакуемого компьютера конфигурационного файла и в случае отсутствия создает его. Вслед за этим BackDoor.Crane.1 загружает в память зараженной машины собственные модули и с определенными интервалами начинает обращаться к управляющему серверу за заданиями. Примечательно, что в процессе обмена информацией с командным центром троян использует в качестве значения параметра User-Agent строку «RSDN HTTP Reader» — исходя из этого в «Доктор Веб» сделали вывод о том, что вирусописатели возможно копировали фрагменты кода с сайта для разработчиков ПО rsdn.org.

BackDoor.Crane.1 имеет несколько модулей, которые могут быть установлены по команде злоумышленников. Каждый из них выполняет какую-либо конкретную задачу. Среди них: выполнение переданной с управляющего сервера команды с использованием интерпретатора команд cmd; скачивание файла по заданной ссылке и сохранение его в указанную папку на инфицированном компьютере; составление и передача на управляющий сервер перечня содержимого заданной директории; создание и передача на управляющий сервер снимка экрана; загрузка файла на указанный злоумышленниками сервер с использованием протокола FTP; загрузка файла на указанный злоумышленниками сервер с использованием протокола HTTP.

Специалисты «Доктор Веб» установили, что некоторые модули BackDoor.Crane.1 скачивали и устанавливали на зараженные компьютеры двух написанных на языке Python троянов, добавленных в вирусные базы Dr.Web под именами Python.BackDoor.Crane.1 и Python.BackDoor.Crane.2. Бэкдор Python.BackDoor.Crane.1 обменивается с управляющим сервером информацией с использованием протокола HTTP и может выполнять практически тот же набор команд, что и BackDoor.Crane.1. К этому списку добавилось несколько новых функций: получить список файлов и каталогов по заданному пути; удалить указанные файлы; прекратить работу указанных процессов; скопировать заданные файлы; передать на управляющий сервер список запущенных процессов, информацию об операционной системе и дисках зараженного ПК; завершить собственную работу.

Вторая вредоносная программа — Python.BackDoor.Crane.2. — предназначена для выполнения на инфицированном компьютере полученного с управляющего сервера шелл-кода.

Сигнатуры этих вредоносных программ добавлены в вирусные базы Dr.Web.