Po 7 mėnesių tyrimų demaskuotas kenkėjas „Baldr“

Publikuota: 2019-08-11
„Matton“ nuotr.
„Matton“ nuotr.

Kibernetinio saugumo kompanijos „Sophos“ mokslininkai demaskavo išmanią kenkėjišką programinę įrangą „Baldr“, kuri, patekusi į įrenginį, apiplėšdavo jį iki paskutinio informacijos bito.

Kibernetinio saugumo analitikams ši operacija užtruko net septynis mėnesius. Ji pradėta 2019 m. sausį, kai „Baldr“ pirmąkart pasirodė vadinamajame tamsiajame internete. Programinė įranga sukėlė įtarimų, bet tada dar nei viena ugniasienė ar antivirusinė programa nesugebėjo jos identifikuoti kaip kenkėjiškos, mat „Baldr“ savo identitetą išmaniai maskavo.

Kol saugumo specialistai laužė galvas bandydami prasiskverbti pro šią maskuotę, „Baldr“ įgavo pagreitį ir ėmė plisti: Indonezijoje ir Pietų Azijoje nustatyta per 20% visų šio kenkėjo duomenų vagysčių atvejų, Brazilijoje – daugiau nei 14%, Rusijoje – beveik 14%, JAV – 11%, Vokietijoje ir Prancūzijoje – maždaug po 5% atvejų.

„Esant tokio masto globaliam duomenų vagysčių paplitimui buvo aišku, kad reikia veikti greitai, tačiau sumaniai. „Sophos” saugumo ekspertams pavyko įsilieti į potencialių klientų gretas tamsiajame internete, kur jie galėjo sekti „Baldr“, jo kūrėjų ir platintojų veiksmus“, – pasakoja Justinas Valentukevičius, „Sophos“ atstovas Baltijos šalyse.

Neatsargūs piktavaliai

Taip pavyko nustatyti, kad „Baldr“ kūrėjai savo kenkėjišką programą platina ne patys, o per platintojus. Šie gi klientų ieško tarp jaunų, nepatyrusių, daug įgūdžių neturinčių piktavalių, todėl savo kenkėjišką produktą platina ne el. paštu, o per kompiuterinių žaidimų entuziastų puslapius bei forumus.

Programos, įdiegiančios piratines žaidimų kopijas, raktų generavimo programas ar specialius kodus, užtikrinančius perėjimą į kitą žaidimo lygį – tai pagrindinis kelias kuriuo, kartu su piratine programa, į įrenginį patenka „Baldr“.

„Būtent šie nepatyrę piktavaliai padėjo saugumo ekspertams perprasti „Baldr“ veiklos schemą. Neapdairūs nauji programišiai dažnu atveju tiesiog dalinosi pasiekimais tamsiajame internete viešai skelbdami C2 (angl. Command and Control) prieigos taškus, kur ir buvo siunčiami konkretaus užsakymo aukų duomenys“, – sako J. Valentukevičius.

Prieiga prie šių duomenų leido saugumo ekspertams perprasti „Baldr“ veiklos schemą aukos kompiuteryje, o atskirais atvejais – ir stebėti C2 serverio eiliškumo užpildymą aukų duomenimis. Kai kurie programišiai buvo tiek neatsargūs, kad C2 mašinoje paliko prieinamus serverio programos paketus, o pastarieji leido įveikti užmaskuotą duomenų vagystės schemą.

Kokią informaciją vagia

„Nors pradžioje buvo manoma, kad „Baldr“ tėra interneto paskyrų slaptažodžių vagis, vėliau paaiškėjo, kad turime reikalą su neišrankiu duomenų vagimi, beatodairiškai renkančiu bet kokią įrenginyje prieinamą informaciją“ – teigia „Sophos“ atstovas.

Anot jo, kenkėjas iš pradžių sukuria įrenginio profilį, į kurį įtraukiama informacija apie įrenginio gamintoją, procesorių, atmintį, operacinę sistemą, atnaujinimų reguliarumą, sistemoje naudojamą kalbą, ekrano rezoliuciją, kitus nustatymus ir įdiegtas programas. Tada informacija surenkama iš visų įdiegtų interneto naršyklių – paskyrų prisijungimo duomenys, automatinio formų laukų užpildymo nustatymai, internetinių mokėjimų, banko kortelių duomenys. Toliau renkami duomenys apie naudojamas tinklo programas ir jų prisijungimus, įskaitant populiarias FTP, VPN ir žinučių programas. „Baldr“ taip pat gali apiplėšti kriptovaliutų piniginę, jei tokią įrenginyje aptinka.

Gauk nemokamą VERSLO naujienlaiškį į savo el.pašto dėžutę:

Pasirinkite Jus dominančius NEMOKAMUS savaitraščius:













Svarbiausios dienos naujienos trumpai:



 
Rašyti komentarą 0
Australijoje patvirtinti pirmieji užsikrėtimo koronavirusu atvejai 

Australija šeštadienį patvirtino pirmuosius keturis užsikrėtimo nauju koronavirusu, Kinijoje jau...

Verslo aplinka
2020.01.25
Dėl koronaviruso grėsmės Lietuvos oro uostuose budi sveikatos specialistai 

Dėl iš Kinijos plintančio koronaviruso, nuo šeštadienio visuose trijuose Lietuvos oro uostuose budi...

Verslo aplinka
2020.01.25
Rusijos kelionių organizatoriai sustabdė kelionių į Kiniją pardavimą

Rusijos kelionių organizatoriai nutraukė prekybą kelialapiais į Kiniją po to, kai už turizmą atsakinga šalies...

Paslaugos
2020.01.25
Kelionių ypatumai 2020-aisiais: laikas sulėtinti tempą Premium 1

Per praėjusius 10 metų ke­liauti pasidarė kaip niekada paprasta – pridygo pigių oro linijų, išpopuliarėjo...

Laisvalaikis
2020.01.25
Prancūzijoje patvirtinti pirmieji užsikrėtimo nauju koronavirusu atvejai Europoje 1

Prancūzijoje patvirtinti trys užsikrėtimo nauju koronavirusu, pirmiausiai išplitusiu Kinijoje, atvejai, kurie...

Paslaugos
2020.01.25
Kinijos valdžia nurodė nutraukti organizuotų kelionių į užsienį pardavimą 2

Kinijos kultūros ir turizmo ministerija nurodė šalies kelionių agentūroms ir kelionių organizatoriams nuo...

Paslaugos
2020.01.25
Neramumų Honkonge pasekmė – kritę konjako pardavimai

Prancūzų prabangių gėrimų gamintojos „Remy Cointreau“ akcijos patiria didžiausią griūtį per dešimt metų po...

Rinkos
2020.01.24
Eurostatas: turistų nakvynių skaičiaus augimas Lietuvoje – vienas didžiausių ES

Lietuvos viešbučiuose ir kitose apgyvendinimo įstaigose pernai apsilankiusiųjų turistų skaičaus...

Paslaugos
2020.01.24
Virtualių asistentų verslas klesti – per mėnesį įdarbina po keliolika naujų specialistų Premium 1

Apie galimybę dirbti nuotoliniu būdu daugelyje įmonių dar tik svarstoma. „Baltic Virtual Assistants“ ją...

Gazelė
2020.01.24
VPT: Anykščiai turi nutraukti 1 mln. Eur vertės mokinių maitinimo konkursą

Anykščių valdžia turi nutraukti maždaug 1 mln. Eur vertės rajono mokinių maitinimo konkursą, pareiškė Viešųjų...

Paslaugos
2020.01.24
Išrinkta patraukliausia 2019 m. Lietuvos sveikatos turizmo vietovė

Penktadienį turizmo parodos „Adventur“ metu „Litexpo“ parodų ir kongresų centre paskelbti EDEN...

Paslaugos
2020.01.24
Vilniuje prasidėjo turizmo paroda „Adventur 2020“

Penktadienį sostinės parodų centre „Litexpo“ prasidėjo didžiausia Baltijos šalyse specializuota tarptautinė...

Paslaugos
2020.01.24
Paskelbti Lietuvos turizmo sėkmingiausieji

Vilniuje, „Litexpo“ parodų rūmuose, vykstančioje turizmo parodoje „Adventur“, įteiktos „Turizmo...

Laisvalaikis
2020.01.24
Naujas sezonas: už keliones mokėsime daugiau Premium

Anot Žydrės Gavelienės, Naciona­linės turizmo verslo asociacijos prezidentės ir kelionių agentūros „Estravel“...

Laisvalaikis
2020.01.24
Kiek pagrįstas entuziazmas dėl „Teslos“ Premium 8

Dešimtis kartų daugiau mašinų pagaminantys automobilių pramonės gigantai yra verti kur kas mažiau nei...

Rinkos
2020.01.24
Ryšys užmegztas: „Atea“ IT įdiegti „Aruba“ sprendimai tapo „Avia Solutions Group“ kompiuterinio tinklo prieigos standartu Verslo tribūna

Neseniai duris atvėrusio „Avia Solutions Group“ biurų komplekso IT tinklo sprendimai pradėti planuoti prieš...

Technologijos
2020.01.24
Lenkija kyla į mokestinę kovą su „Airbnb“ Premium

Tadeuszas Koscinskis, naujasis Lenkijos finansų ministras, siekia, kad JAV būsto nuomos platforma „Airbnb“...

Paslaugos
2020.01.24
Saulės energija automobiliuose: netiki investuotojai, bet dosniai remia vartotojai Premium

Miunchene įsikūręs startuolis „Sono Motors“ per minios finansavimo kampaniją savo projektui surinko 53 mln.

Automobiliai
2020.01.23
Savivaldybė neleido įrengti atliekų rūšiavimo aikštelės Gargžduose 2

Atliekų rūšiavimo aikštelės Gargžduose nebus – Klaipėdos rajono savivaldybės taryba uždegė raudoną šviesą jos...

Paslaugos
2020.01.23
Kavavirius augina konkurentai, kurie yra ir partneriai Premium

Verslas, kuriame konkurentų yra ant kiekvieno kampo, ir visai ne perkeltine prasme – kavos barai. Bet...

Gazelė
2020.01.23

Verslo žinių pasiūlymai

Šioje svetainėje naudojame slapukus (angl. „cookies“). Jie padeda atpažinti prisijungusius vartotojus, matuoti auditorijos dydį ir naršymo įpročius; taip mes galime keisti svetainę, kad ji būtų jums patogesnė.
Sutinku Plačiau