Po 7 mėnesių tyrimų demaskuotas kenkėjas „Baldr“

Publikuota: 2019-08-11
„Matton“ nuotr.
„Matton“ nuotr.

Kibernetinio saugumo kompanijos „Sophos“ mokslininkai demaskavo išmanią kenkėjišką programinę įrangą „Baldr“, kuri, patekusi į įrenginį, apiplėšdavo jį iki paskutinio informacijos bito.

Kibernetinio saugumo analitikams ši operacija užtruko net septynis mėnesius. Ji pradėta 2019 m. sausį, kai „Baldr“ pirmąkart pasirodė vadinamajame tamsiajame internete. Programinė įranga sukėlė įtarimų, bet tada dar nei viena ugniasienė ar antivirusinė programa nesugebėjo jos identifikuoti kaip kenkėjiškos, mat „Baldr“ savo identitetą išmaniai maskavo.

Kol saugumo specialistai laužė galvas bandydami prasiskverbti pro šią maskuotę, „Baldr“ įgavo pagreitį ir ėmė plisti: Indonezijoje ir Pietų Azijoje nustatyta per 20% visų šio kenkėjo duomenų vagysčių atvejų, Brazilijoje – daugiau nei 14%, Rusijoje – beveik 14%, JAV – 11%, Vokietijoje ir Prancūzijoje – maždaug po 5% atvejų.

„Esant tokio masto globaliam duomenų vagysčių paplitimui buvo aišku, kad reikia veikti greitai, tačiau sumaniai. „Sophos” saugumo ekspertams pavyko įsilieti į potencialių klientų gretas tamsiajame internete, kur jie galėjo sekti „Baldr“, jo kūrėjų ir platintojų veiksmus“, – pasakoja Justinas Valentukevičius, „Sophos“ atstovas Baltijos šalyse.

Neatsargūs piktavaliai

Taip pavyko nustatyti, kad „Baldr“ kūrėjai savo kenkėjišką programą platina ne patys, o per platintojus. Šie gi klientų ieško tarp jaunų, nepatyrusių, daug įgūdžių neturinčių piktavalių, todėl savo kenkėjišką produktą platina ne el. paštu, o per kompiuterinių žaidimų entuziastų puslapius bei forumus.

Programos, įdiegiančios piratines žaidimų kopijas, raktų generavimo programas ar specialius kodus, užtikrinančius perėjimą į kitą žaidimo lygį – tai pagrindinis kelias kuriuo, kartu su piratine programa, į įrenginį patenka „Baldr“.

„Būtent šie nepatyrę piktavaliai padėjo saugumo ekspertams perprasti „Baldr“ veiklos schemą. Neapdairūs nauji programišiai dažnu atveju tiesiog dalinosi pasiekimais tamsiajame internete viešai skelbdami C2 (angl. Command and Control) prieigos taškus, kur ir buvo siunčiami konkretaus užsakymo aukų duomenys“, – sako J. Valentukevičius.

Prieiga prie šių duomenų leido saugumo ekspertams perprasti „Baldr“ veiklos schemą aukos kompiuteryje, o atskirais atvejais – ir stebėti C2 serverio eiliškumo užpildymą aukų duomenimis. Kai kurie programišiai buvo tiek neatsargūs, kad C2 mašinoje paliko prieinamus serverio programos paketus, o pastarieji leido įveikti užmaskuotą duomenų vagystės schemą.

Kokią informaciją vagia

„Nors pradžioje buvo manoma, kad „Baldr“ tėra interneto paskyrų slaptažodžių vagis, vėliau paaiškėjo, kad turime reikalą su neišrankiu duomenų vagimi, beatodairiškai renkančiu bet kokią įrenginyje prieinamą informaciją“ – teigia „Sophos“ atstovas.

Anot jo, kenkėjas iš pradžių sukuria įrenginio profilį, į kurį įtraukiama informacija apie įrenginio gamintoją, procesorių, atmintį, operacinę sistemą, atnaujinimų reguliarumą, sistemoje naudojamą kalbą, ekrano rezoliuciją, kitus nustatymus ir įdiegtas programas. Tada informacija surenkama iš visų įdiegtų interneto naršyklių – paskyrų prisijungimo duomenys, automatinio formų laukų užpildymo nustatymai, internetinių mokėjimų, banko kortelių duomenys. Toliau renkami duomenys apie naudojamas tinklo programas ir jų prisijungimus, įskaitant populiarias FTP, VPN ir žinučių programas. „Baldr“ taip pat gali apiplėšti kriptovaliutų piniginę, jei tokią įrenginyje aptinka.

Gauk nemokamą VERSLO naujienlaiškį į savo el.pašto dėžutę:

Pasirinkite Jus dominančius NEMOKAMUS savaitraščius:













Svarbiausios dienos naujienos trumpai:



 
Rašyti komentarą

Rašyti komentarą

„Google“ griežtina politinės reklamos sąlygas Premium

JAV kompanija „Google“ nusprendė įvesti apribojimus tikslinei politinei reklamai – reklamdaviai nebegalės...

Verslo aplinka
2019.11.21
„Novaturas“ ramina: tai neturi įtakos mūsų darbui Premium

Likvidumu nepasižyminčios „Novaturo“ akcijos ketvirtadienį tapo Baltijos biržos aktyviausiai prekiaujamais...

Rinkos
2019.11.21
Biurų darbuotojus sportuoti skatinantis „OnePass“ pritraukė 160.000 Eur investiciją 1

Viena narystė – visi sporto klubai. Tokią idėją siekiantis įgyvendinti startuolis „OnePass“ (UAB „Sporto...

Paslaugos
2019.11.21
Vertinimai: už „Novaturo“ akcijas instituciniai investuotojai turi pagrindo prašyti dviženklės nuolaidos Premium

„Novaturo“ pagrindinis akcininkas pasirinko paplitusį būdą parduoti didesnį kiekį akcijų ir taip nusistatyti...

Rinkos
2019.11.21
Konkurencija toliau smukdo tinklinių viešbučių rodiklius Premium 1

Vilniuje smarkiai išaugusi naujų kambarių pasiūla toliau mažėjimo linkme koreguoja tarptautiniams tinklams...

Paslaugos
2019.11.21
Vilniaus Perkūnkiemyje darželiui statyti perimama privati žemė

Nacionalinė žemės tarnyba (NŽT) pradeda procedūras, reikalingas visuomenės poreikiams perimti privačius žemės...

Statyba ir NT
2019.11.21
Lietuvos lazerių įmonės žengia gilyn į pramonės sektorių Premium 2

Pastarosiomis dienomis kelios Lietuvos lazerių bendrovės pranešė apie bebaigiamus pramoninių inovacijų...

Technologijos
2019.11.21
„15min“ registruoja naują prekės ženklą ir siūlys mokamą turinį Premium 2

Portalas „15min“ registruoja naują prekės ženklą „15MAX“, kuris skirtas nuo gruodžio startuosiančiam mokamam...

Rinkodara
2019.11.21
Buvęs „Novaturo“ Estijoje vadovas bendrovei turės atlyginti per 230.000 Eur 1

Estijos Harju apygardos teismas priėmė nutartį, kad buvęs AB „Novaturo“ padalinio Estijoje vadovas Andree...

Paslaugos
2019.11.21
„Novaturo“ pagrindinis akcininkas siekia išsigryninti investicijų dalį 2

Pagrindinis kelionių organizatoriaus „Novaturo“ akcininkas „Central European Tour Operator S.a.r.l.1“ rinkai...

Rinkos
2019.11.20
Vilniaus universitete bus dėstoma kibernetinė sauga

Vilniaus universitetas (VU), bendradarbiaudamas su Izraelio kibernetinio saugumo bendrove „Check Point“,...

Paslaugos
2019.11.20
Vilniuje gruodį veiklą pradės nauji moduliniai darželiai 2

Vilniuje, Pašilaičių rajone, duris atvers naujas lopšelio-darželio „Gabijėlė“ modulinis priestatas, kurį nuo...

Paslaugos
2019.11.20
„Caffeine“ laimėjo konkursą ir įsikūrė Oslo ligoninėje Premium 3

Lietuviškas kavinių tinklas „Caffeine“, kurį šių metų pradžioje įsigijo Norvegijos bendrovė „Reitan...

Prekyba
2019.11.20
„Alibaba“ Honkongo biržoje gali pritraukti iki 12,9 mlrd. USD

Kinijos elektroninės prekybos milžinė „Alibaba“ per akcijų platinimą Honkongo vertybinių popierių biržoje...

Rinkos
2019.11.20
Apžvalga: Lietuvos startuolių ekosistema auga sparčiau už latvių ir estų

Tarp 3 Baltijos šalių Lietuvoje rizikos kapitalo investicijų augimas yra didžiausias – Estiją lenkiame 47%, o...

Paslaugos
2019.11.20
„Plačiajuostis internetas“ nutraukė 20 mln. Eur vertės ryšio bokštų konkursus

Įsiteisėjus teismo sprendimui, viešoji įstaiga „Plačiajuostis internetas“ nutraukė tris daugiau nei 20...

Technologijos
2019.11.20
„Bolt“ skaičiuoja pirmojo paspirtukų sezono rezultatus  5

Pirmąjį paspirtukų nuomos sezoną Lietuvoje baigusi Estijos kapitalo transporto dalijimosi platforma...

JAV kapitalo įmonės idėja – sukurti asmeninę sveikatos sistemą Premium

Prieš penkerius metus Lietuvoje įsteigta JAV programinės įrangos kūrėjos „Exadel Inc“ antrinė įmonė „Exadel...

Pramonė
2019.11.20
Viešbučių užimtumas Hurgadoje ir Šarm el Šeiche pasiekė 75%

Vidutinis viešbučių užimtumas Egipto Raudonosios jūros kurortuose Hurgadoje ir Šarm el Šeiche pasiekė 75%,...

Paslaugos
2019.11.19
Vyno ir desertų čempionatas: už laimėtojų nugaros – geriausi latvių ir estų restoranai

Lapkričio 18 d. Vilniuje vykusio 10-ojo atvirojo Vyno ir desertų derinių čempionato pirmąsias vietas užėmė...

Laisvalaikis
2019.11.19

Verslo žinių pasiūlymai

Šioje svetainėje naudojame slapukus (angl. „cookies“). Jie padeda atpažinti prisijungusius vartotojus, matuoti auditorijos dydį ir naršymo įpročius; taip mes galime keisti svetainę, kad ji būtų jums patogesnė.
Sutinku Plačiau