APT група разпространявала троянизирана версия на TrueCrypt

Компанията, предлагаща услуги и продукти в областта на информационната и интернет сигурност ESET разкри информация за APT (advanced persistent threat) група, атакувала високопрофилни цели в Русия, Украйна, Армения и Грузия. Операция Potao Express (кръстена по името на малуера, дадено му от ESET) действа поне от четири години, а сред целите й присъстват представители на украинското правителство и армия, руската финансова пирамида "МММ" (наречена от Finfact "най-голямата финансова пирамида, съществувала някога на територията на СССР и Руската федерация") и други.Любопитното е, че макар и неособено сложен, зловредният софтуер, с който групата е атакувала целите си, не е открит в продължение на пет години. Другото любопитно за атаките е, че групата е използвала троянизирана версия на софтуера за цялостно дисково криптиране TrueCrypt. Въпросната версия е разположена на ресурс с адрес truecryptrussia.ru, който към дадения момент все още е активен.Освен това, Potao може да се разпространява посредством USB стикове и да бъде прикриван като Word и Excel файлове.

По отношение на троянизираната версия на TrueCrypt, интересното е, че не всички са получавали бекдор варианта на софтуера, а само определени адреси, посещаващи сайта, като контролният сървър на TrueCrypt Русия е използван и от малуера. Роберт Липовски и Антон Черепанов от ESET, които са автори на публикацията в блога на компанията, разкриваща новината за кибершпионската операция, съобщават, че освен, че подправената версия на програмата добавя към системата Potao, то тя е извънредно опасен бекдор. Potao Express са активни и към настоящия момент.Освен публикуването на подробен анализ на операцията (pdf), ESET предоставят IOC (Indicators of Compromise) пакет, насочени към разработчици по информационна сигурност.

	Коментари
	Все още няма коментари