Под кибермаской
chorshanba, 1-aprel, 2020
Устройства Apple заражаются вредоносным ПО, которое было взломано и повторно развернуто для совершения злонамеренных действий.
В новостных сообщениях об атаках с использованием вредоносных программ нередко упоминается источник атаки. Хакеры могут быть «северокорейскими», «китайскими», «русскими»… Атрибуция происхождения вредоносного ПО делается, например, на основе неких названий переменных, характерных ошибок в правописании и т. д. Эти доказательства шаткие – и мы об этом писали (см., например, выпуск «Разрешите представиться: русский хакер»). Но есть и еще одна сторона медали.
Вышеупомянутые доказательства означают, что определенное ПО было изучено, возможно даже было проведено восстановление его исходного кода. А это – интересная возможность:
Патрик Уордл (Patrick Wardle) в ходе презентации упомянул, что исследователи безопасности - не единственные, кто «перерабатывает» передовые вредоносные программы. Государства часто получают вредоносное ПО, созданное другими странами, а затем используют его в своих целях.
Под переработкой тут понимается использование чужого вредоносного ПО. Надо отметить, что это весьма широкая практика, зачастую это сложностей не представляет. Во многих случаях нужно только изменить адреса серверов злоумышленников.
Обычно делается это без всяких политических целей. Но, предположим, кто-то хочет заявить: «Мы ввели против них эмбарго (вариант – предупреждали), но они продолжают атаки!»
Уордл отмечает, что одним из преимуществ этой практики является возможность развертывания вредоносного программного обеспечения, которое «похоже» на работу группы киберразведки другой страны. Таким образом, национальные государства могут развертывать вредоносные программы, зная, что даже если они обнаружены, их скрытые действия могут быть неправильно отнесены к другой стране.
И надо признать, что это возможно. Представим, что мы взяли вредоносную программу – и распространяем ее сами. Даже без цели кражи денег или причинения ущерба, просто, чтобы ее обнаружили. И как доказать, что распространяют ее уже не создатели?
В условиях безопасности, в которых продвинутые субъекты переделывают вредоносное ПО друг друга (и даже инфраструктуру), атрибуция становится очень трудной для независимых исследователей. Некоторые правительственные спецслужбы могут иметь возможность отследить такие атаки до их источника, но это поднимает сложный вопрос: должны ли мы принимать их приписку за чистую монету?
Невозможно представить сценарий, в котором кибератака может быть использована в качестве повода для военных действий. Но у правительств мира печальная история вступления в войну на основе шатких оправданий и сомнительного интеллекта.
Поэтому мы должны сказать: «Хорошо, вы заявляете, что это Страна X. Почему вы думаете, что это так? А задумывались ли вы о том, что инструменты страны X могли бы быть перепакованы страной Y, чтобы она выглядела как страна X»?
«Но у правительств мира печальная история вступления в войну на основе шатких оправданий». Ранее в качестве повода к агрессии использовались диверсионные группы, переодетые в форму противника. Сейчас все упростилось.
Сделать атаки более эффективными можно, немного изменив код чужой вредоносной программы. Довольно просто можно найти сигнатуру, на которую среагирует средство зашиты, и заменить ее. Если будет реакция на подпись вредоносной программы – переподписать. Было бы желание!
Антивирусная правДА! рекомендует
При изменениях вредоносного ПО, о которых говорилось выше, сам вредоносный функционал останется прежним. Как говорится, работает – не трожь, изменения могут поломать ключевые функции вредоносной программы. Поведение останется без изменений, а это означает, что остановить атаку даже измененного ПО можно будет, воспользовавшись поведенческим анализом – превентивной защитой.
Нам важно ваше мнение
Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.
Комментарии пользователей
Шалтай Александр Болтай
20:20:01 2020-04-02
Любитель пляжного футбола
07:08:47 2020-04-02
Dvakota
23:02:45 2020-04-01
Неуёмный Обыватель
22:26:46 2020-04-01
Шалтай Александр Болтай
22:26:27 2020-04-01
Всех с 1 апреля!
Геральт
21:57:51 2020-04-01
Zserg
20:51:36 2020-04-01
I46
20:44:33 2020-04-01
DrKV
20:17:13 2020-04-01
gebrakk
19:20:49 2020-04-01
VVK74
19:17:41 2020-04-01
Toma
19:02:49 2020-04-01
Toma
18:59:18 2020-04-01
anatol
18:57:40 2020-04-01
Альфа
18:39:05 2020-04-01
Masha
18:22:13 2020-04-01
Денисенко Павел Андреевич
17:34:08 2020-04-01
@gebrakk, С днем рождения:) Всего самого хорошего:)
Korney
17:21:07 2020-04-01
L1t1um
16:29:24 2020-04-01
L1t1um
16:26:12 2020-04-01
Sasha50
16:25:49 2020-04-01
tigra
16:15:12 2020-04-01
tigra
16:14:06 2020-04-01
gebrakk
14:24:25 2020-04-01
Любитель пляжного футбола
14:07:45 2020-04-01
Татьяна
13:29:13 2020-04-01
Xamanaptr
13:14:04 2020-04-01
Dmur
12:59:15 2020-04-01
DoctorW
12:47:08 2020-04-01
ZesMen
12:39:43 2020-04-01
Пaвeл
12:34:36 2020-04-01
vinnetou
12:27:33 2020-04-01
Саня
12:18:25 2020-04-01
I23
12:16:29 2020-04-01
Lenba
12:10:41 2020-04-01
maestro431
11:28:21 2020-04-01
SGES
11:23:24 2020-04-01
orw_mikle
11:08:38 2020-04-01
vkor
09:52:08 2020-04-01
Vlad X
09:06:52 2020-04-01
Прием не новый.
ka_s
08:39:22 2020-04-01
Alexander
08:26:26 2020-04-01
Правильно в статье дважды упоминается фраза, что мировое сообщество имеет огромный исторический опыт начала войн на основе ложных (шатких) обоснований. Да и нужны ли объяснения (оправдания) агрессору?! Разве что для повышения ставок в торговле со своими временными приспешниками...
И вполне ожидаемо, что такой подход в решении своих желаний перенесён в виртуальный мир кибер пространства. Кибермаски становятся неотъемлемым атрибутом не только в кибер реале, но и в быту на подмостках театра абсурда...
Благо, что всё ещё остаётся нетронутой развратом обмана спокойная и надёжная гавань Dr.Web Security Space. Спасибо.
EvgenyZ
07:09:50 2020-04-01
Sergey
06:01:26 2020-04-01
achemolganskiy
05:01:25 2020-04-01