Social media
Kod ESPecter atakuje Windows. Ślad prowadzi do Chin
Odkryto nowe złośliwe oprogramowanie, które przeprowadza ataki cyberszpiegowskie i infekuje partycje systemowe. Nazwany ESPecter, bootkit jest prawdopodobnie aktywny od 2012 roku i może być wykorzystywany przez chińskie służby.
Badacze z firmy ESET poinformowali o nowym zagrożeniu o nazwie ESPecter, które jest przeznaczone do prowadzenia działań cyberszpiegowskich.
Windows na celowniku
Według ekspertów złośliwe oprogramowanie rozpoczynało swoją działalność jako bootkit dla systemów ze starszymi BIOS-ami. Później zostało uaktualnione.
Infekcja pozostaje wewnątrz partycji systemowej w postaci łatki zaaplikowanej do Windows Boot Managera. Łata ta pozwala złośliwemu oprogramowaniu na omijanie zabezpieczeń zaimplementowanych w protokołach Windows Driver Signature Enforcement (DSE) i ładowanie swoich niepodpisanych sterowników do urządzenia.
Po załadowaniu, sterowniki te wstrzykują inne komponenty trybu użytkownika, które pozwalają na nawiązanie połączenia z serwerem atakującego.
Chiński trop
Jedna z próbek ESPectera wykorzystywała moduł funkcjonalności wykradania dokumentów, co wskazuje na jego przeznaczenie do inwigilacji. Po uruchomieniu, ESPecter instaluje backdoora z poleceniami do cyberszpiegowania, wraz z kluczowymi logami i dokumentami. Złośliwy kod regularnie wykonuje zrzuty ekranu i ukrywa ich zawartość w specjalnym katalogu.
Na razie nie ma wystarczających dowodów, aby dokonać wiarygodnego skojarzenia z jakimkolwiek autorem zagrożeń. Jednak w komponentach złośliwego oprogramowania znajdują się znaki, które wskazują na to, że atakujący posługują się chińskim.
Chcemy być także bliżej Państwa – czytelników. Dlatego, jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy,o którychtrzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected]. Przyszłość przynosi zmiany. Wprowadzamy je pod hasłem #CyberIsFuture.