Эксперты BAE Systems продолжают изучать образец малвари, обнаруженный в начале февраля 2017 года. Напомню, тогда стало известно, что несколько польских банков пострадали от хорошо спланированной хакерской атаки. Интересно, что в качестве одного из этапов атаки злоумышленники заразили малварью сайт польской Комиссии по финансовому надзору (Komisja Nadzoru Finansowego, KNF). Компрометацию ресурса не замечали больше недели, а инфекция приводила к скачиванию на машины посетителей сайта трояна удаленного доступа (remote access trojan, RAT). То есть хакеры воспользовались техникой watering hole: заразили малварью сайт, который часто посещают их цели.

Неделю назад специалисты компании Symantec и военно-промышленной корпорации BAE Systems рассказали, что от рук хакеров пострадали не только банки и не только в Польше. По их данным, масштабная вредоносная кампания стартовала еще в октябре 2016 года. «Атакующие используют скомпрометированные сайты, чтобы перенаправить их посетителей к кастомному набору эксплоитов, который сконфигурирован таким образом, чтобы заражать только пользователей из списка, содержащего 150 разных IP-адресов. Данные IP принадлежат 104 организациям в 31 стране мира. Преимущественно это банки, однако среди них есть телекомы и интернет-компании», — пояснили исследователи.

Более того, эксперты обнаружили в этом деле отчетливый след известной хакерской группировки Lazarus. Напомню, что данная группировка «прославилась» в основном за счет атаки на Sony Pictures Entertainment  в 2014 году. Однако это не единственное «достижение» Lazarus. Помимо этого группировку связывают с вредоносом DarkSeoul, который атаковал сеульские банки, радио и телевидение, а также с масштабной киберкампанией Operation Troy, нацеленной на вооруженные силы, СМИ, авиакосмическую промышленность и финансовые организации Южной Кореи. Также именно Lazarus подозревают в громком ограблении Центробанка Бангладеш в 2016 году, когда злоумышленники успешно похитили 81 млн долларов и только чудом не сумели украсть почти миллиард.

20 февраля 2017 года русскоговорящий эксперт BAE Systems Сергей Шевченко представил новый отчет, посвященный изучению обнаруженной недавно малвари. Специалист рассказал, что в коде вредоноса повсюду разбросаны так называемые «фальшивые флаги» (false flag) — приманки, которые должны создать у исследователей впечатление, будто за данной кампанией стоят русскоговорящие хакеры. Однако Шевченко пишет, что любой русскоязычный специалист сразу заметит фальсификацию, потому как злоумышленники явно использовали для перевода Google Translate или что-то похуже.

Исследователь приводит очень яркие примеры, обнаруженные им в коде. Хакеры использовали транслит, но явно сгенерированный машиной, а не человеком. Потому что носитель языка вряд ли запишет слово «выходить» как vykhodit, слово «клиент» как kliyent или придумает конструкцию вида kliyent2podklyuchit, очевидно, изначально означавшую client2connect.

Для тех, кто не говорит и не пишет по-русски, Шевченко объясняет, что ни один русскоговорящий никогда не напишет kliyent, ведь это прямое и неестественное подражание фонетике. Слово «клиент» скорее должно было превратиться в client или klient. Хуже того, в коде есть и более очевидные ошибки. Так, английское слово dummy получило транслитерацию chainik, хотя в контексте кода эксплоита речь идет совсем не профане в какой либо области (см. иллюстрацию выше). Другие примеры этого восхитительного «русского» транслита можно увидеть ниже.

«В ходе реверс-инжиниринга мы обнаружили множество русских слов, переведенных некорректно. В некоторых случаях неправильный перевод полностью изменил значение слов. Это явно указывает, что для авторов данной атаки русский язык не является родным, то есть русские слова, по всей видимости, используются в качестве false flag. Методы группы, стоящей за данными атаками, определенно эволюционируют, если говорить об их способностях. Но вместе с этим, похоже, они пытаются сбить со следа исследователей, которые могут сделать поспешные выводы относительно принадлежности группы», — резюмирует Шевченко.

Фото: BAE Systems, Depositphotos



3 комментария

  1. Bingo

    21.02.2017 at 11:22

    А что мешает злоумышленникам нарочно допускать подобные ошибки, чтобы их точно не отнесли к русскоговорящему комьюнити?)

  2. Il

    26.02.2017 at 14:19

    Хорошая попытка ) Но, что если это иностранные злоумышленники так зашифровались, чтобы все подумали, что это ведь русские хакеры, потом присмотрелись! да неее, это не могут быть русские хакеры, если только они специально не делали такие глупые ошибки! А на самом деле это не русские. Обфускация.

Оставить мнение