Вы используете устаревший браузер!

Страница может отображаться некорректно.

  • добавить в избранное
    Добавить в закладки

Под кибермаской

Прочитали: 5686 Комментариев: 45 Рейтинг: 66

1 апреля 2020

Устройства Apple заражаются вредоносным ПО, которое было взломано и повторно развернуто для совершения злонамеренных действий.

Источник

В новостных сообщениях об атаках с использованием вредоносных программ нередко упоминается источник атаки. Хакеры могут быть «северокорейскими», «китайскими», «русскими»… Атрибуция происхождения вредоносного ПО делается, например, на основе неких названий переменных, характерных ошибок в правописании и т. д. Эти доказательства шаткие – и мы об этом писали (см., например, выпуск «Разрешите представиться: русский хакер»). Но есть и еще одна сторона медали.

Вышеупомянутые доказательства означают, что определенное ПО было изучено, возможно даже было проведено восстановление его исходного кода. А это – интересная возможность:

Патрик Уордл (Patrick Wardle) в ходе презентации упомянул, что исследователи безопасности - не единственные, кто «перерабатывает» передовые вредоносные программы. Государства часто получают вредоносное ПО, созданное другими странами, а затем используют его в своих целях.

Источник

Под переработкой тут понимается использование чужого вредоносного ПО. Надо отметить, что это весьма широкая практика, зачастую это сложностей не представляет. Во многих случаях нужно только изменить адреса серверов злоумышленников.

Обычно делается это без всяких политических целей. Но, предположим, кто-то хочет заявить: «Мы ввели против них эмбарго (вариант – предупреждали), но они продолжают атаки!»

Уордл отмечает, что одним из преимуществ этой практики является возможность развертывания вредоносного программного обеспечения, которое «похоже» на работу группы киберразведки другой страны. Таким образом, национальные государства могут развертывать вредоносные программы, зная, что даже если они обнаружены, их скрытые действия могут быть неправильно отнесены к другой стране.

Источник

И надо признать, что это возможно. Представим, что мы взяли вредоносную программу – и распространяем ее сами. Даже без цели кражи денег или причинения ущерба, просто, чтобы ее обнаружили. И как доказать, что распространяют ее уже не создатели?

В условиях безопасности, в которых продвинутые субъекты переделывают вредоносное ПО друг друга (и даже инфраструктуру), атрибуция становится очень трудной для независимых исследователей. Некоторые правительственные спецслужбы могут иметь возможность отследить такие атаки до их источника, но это поднимает сложный вопрос: должны ли мы принимать их приписку за чистую монету?

Невозможно представить сценарий, в котором кибератака может быть использована в качестве повода для военных действий. Но у правительств мира печальная история вступления в войну на основе шатких оправданий и сомнительного интеллекта.

Поэтому мы должны сказать: «Хорошо, вы заявляете, что это Страна X. Почему вы думаете, что это так? А задумывались ли вы о том, что инструменты страны X могли бы быть перепакованы страной Y, чтобы она выглядела как страна X»?

Источник

«Но у правительств мира печальная история вступления в войну на основе шатких оправданий». Ранее в качестве повода к агрессии использовались диверсионные группы, переодетые в форму противника. Сейчас все упростилось.

Сделать атаки более эффективными можно, немного изменив код чужой вредоносной программы. Довольно просто можно найти сигнатуру, на которую среагирует средство зашиты, и заменить ее. Если будет реакция на подпись вредоносной программы – переподписать. Было бы желание!

#миф #опечатки #превентивная_защита #технологии #хакер

Антивирусная правДА! рекомендует

При изменениях вредоносного ПО, о которых говорилось выше, сам вредоносный функционал останется прежним. Как говорится, работает – не трожь, изменения могут поломать ключевые функции вредоносной программы. Поведение останется без изменений, а это означает, что остановить атаку даже измененного ПО можно будет, воспользовавшись поведенческим анализом – превентивной защитой.

Оцените выпуск

Сделайте репост

Поставьте «Нравится»

Необходимо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.


Нам важно ваше мнение

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей