G.T. ZDNET Kaspersky Lab a declarat astăzi că a detectat computerele infectate cu DarkPulsar, un implant malware care a fost, probabil, dezvoltat de către Agenția Națională de Securitate din SUA (NSA). "Toate victimele au fost localizate în Rusia, Iran și Egipt, iar de obicei Windows 2003/2008 Server a fost infectat", a spus compania. "Obiectivele au fost legate de energia nucleară, telecomunicații, IT, aerospațială și cercetare și dezvoltare". Cercetătorii de la Kaspersky au putut analiza programul DarkPulsar deoarece acesta a fost unul dintre numeroasele instrumente de hacking care au fost lansate online în primăvara anului 2017. Instrumentele de hacking au fost scoase de un grup de hackeri cunoscuți sub numele de Shadow Brokers, care au susținut că i-au furat de la Equation Group, nume de cod dat de industria de securitate cibernetică unui grup universal crezut că este NSA. DarkPulsar a acționat neobservat mai mult de 18 luni, deoarece depozitul din 2017 include și EternalBlue, exploatarea care a alimentat trei focare de răscumpărare de anul trecut - WannaCry, NotPetya și Bad Rabbit. Aproape toți ochii comunității infosec s-au concentrat pe EternalBlue anul trecut și pentru un motiv bun, deoarece exploitul a devenit acum malware . Dar, în ultimele luni, cercetătorii de la Kaspersky au început să sape mai adânc în celelalte instrumente de hacking care sau scurs de la Shadow Brokers anul trecut. Ei au analizat FuzzBunch, un cadru de exploatare pe care Equation Group îl folosea pentru a implementa exploatări și programe malware asupra sistemelor victimelor folosind o interfață CLI similară cu cadrul de testare Metasploit. Ei au analizat, de asemenea, DanderSpritz, un plugin FuzzBunch care funcționează ca o aplicație GUI pentru controlul victimelor infectate. DarkPulsar este un implant "FuzzBunch", un termen tehnic care înseamnă "malware", adesea folosit împreună cu DanderSpritz. Dar, într-un raport publicat astăzi, cercetătorii de la Kaspersky au declarat că DarkPulsar inclus în dezvăluirile Shadow Brokers nu este în totalitate a lui DarkPulsar. "Am analizat acest instrument și am înțeles că nu este un backdoor în sine, ci doar partea administrativă", a spus Kaspersky. O descoperire majoră a apărut atunci când și-au dat seama că unele constante din codul de interfață administrativă DarkPulsar au fost cel mai probabil folosite de malware-ul real. Cercetătorii au creat reguli speciale pentru a detecta aceste constante în fișierele scanate de antivirusul Kaspersky. Astfel au detectat aproximativ 50 de computere care au fost încă infectate cu malware-ul actual DarkPulsar.
Pe baza funcțiilor pe care le-au găsit în interfața de administrare DarkPulsar, cercetătorii spun că malware-ul este utilizat în principal ca o backdoor pentru calculatoarele infectate. Principalele caracteristici ale malware-ului sunt capacitatea sa de a rula cod arbitrar printr-o functie numita "RawShellcode" si capacitatea de a incarca alte sarcini utile DanderSpritz (malware) prin intermediul functiei "EDFStageUpload", extinzandu-si foarte mult capacitatea si capacitatile operatorului pe un sistem infectat. Cercetătorii de la Kaspersky cred, de asemenea, că numărul de computere care au fost infectate cu DarkPulsar este cel mai probabil mai mare decât cele 50 de detectări pe care le-au găsit. Malware-ul a inclus, de asemenea, o funcție de auto-ștergere, pe care operatorii Equation Group le-au folosit probabil pentru a-și acoperi pistele după ce Shadow Brokers și-a scos instrumentele online. "Astfel, cele 50 de victime sunt foarte probabil doar cele pe care atacatorii le-au uitat pur și simplu", au spus cercetătorii. Cât despre cine este în spatele acestor hack-uri, Kaspersky nu a spus. Nu este clar dacă Shadow Brokers a reușit să-și pună mâna pe întregul program DarkPulsar, dar apoi a optat să nu includă actualul backdoor în pachetul de instrumente scurgeri. Aceste 50 de infecții ar putea fi cu ușurință operațiunile de operațiuni de spionaj cibernetice de la Equation Group sau de activitatea propriu-zisă a companiilor Shadow Brokers. În această situație este disponibilă o defalcare tehnică completă a programului malware DarkPulsar mai multe aici: Kaspersky
0 Comments
Leave a Reply. |
Archives
March 2024
Categories
All
|