Специалисты компании Trustwave обнаружили, что неназванный китайский банк обязал по меньшей мере две западные компании установить официальное налоговое ПО, содержащее бэкдор GoldenSpy. Названия пострадавших компаний не раскрываются, но известно, что это были финансовая организация и поставщик ПО, недавно открывшие офисы в Китае.
Все началось с того, что к Trustwave за помощью обратился один из клиентов, объяснив, что китайский банк потребовал, чтобы компания установила ПО Intelligent Tax, разработанное Aisino Corporation специально для уплаты местных налогов.
Эксперты Trustwave обнаружили бэкдор в налоговой программе, обратив внимание на подозрительные сетевые запросы, исходящие из сети клиента. Проанализировал налоговое ПО китайского банка, исследователи пришли в выводу, что программа работает как нужно и действительно позволяет платить местные налоги, однако вместе с этим она установила в системы компании-клиента скрытый бэкдор GoldenSpy.
GoldenSpy обладает правами уровня SYSTEM, что позволяет удаленным злоумышленникам подключаться к зараженной системе, выполнять команды, загружать и устанавливать другое программное обеспечение.
Многие программы имеют функции удаленного доступа, которые обычно используются для отладки, но эксперты Trustwave объясняют, что это не такой случай. Специалисты пишут, что выявили функциональность, которая обычно используется исключительно малварью, но не встречается у легитимных программ. Так, GoldenSpy обладает следующими особенностями:
- Бэкдор прописывает две идентичные копии самого себя в автозапуск. Если одна из копий перестает работать, двойник тут же ее восстанавливает. Кроме того, малварь использует модуль exeprotector, который отслеживает удаление любого из этих «клонов». В случае удаления загружается и выполняется новая копия вредоноса. Такая трехслойная защита серьезно затрудняет удаление файла из зараженной системы.
- Деинсталляция Intelligent Tax не удаляет из системы GoldenSpy, который продолжает функционировать как скрытый бэкдор.
- GoldenSpy не загружается и не устанавливается в течение двух часов после завершения установки налогового ПО. Когда установка бэкдора наконец происходит, все делается тихо, без каких-либо уведомлений.
- GoldenSpy не связывается с инфраструктурой налогового ПО (i-xinnuo[.]com), но обращается к домену ningzhidata[.]com, который ранее уже использовался для размещения других версий малвари GoldenSpy.
- После первых трех попыток установить связь с управляющим сервером, малварь рандомизирует время очередной попытки «выхода на связь». Это известный способ избежать внимания защитных механизмов.
Аналитикам Trustwave так и не удалось понять, каким образом бэкдор попал в продукт Aisino Corporation. Теории экспертов гласят, что бэкдор мог быть создан «правительственными» хакерами Китая; тайно добавлен в программу нечистым на руку сотрудником банка; или создан кем-то из инженеров Aisino Corporation. То есть пока неясно, могли ли китайские спецслужбы вынудить банк или Aisino Corporation добавить малварь в официальное налоговое ПО (чтобы шпионить за иностранными компаниями), или же произошедшее было случайностью, и это работа обычных хакеров, преследующих финансовую выгоду.
В настоящее время исследователи призывают все западные компании, работающие в Китае и имеющие дело с Intelligent Tax, рассматривать этот инцидент как потенциальную угрозу, срочно проверить свои системы на предмет компрометации и принять необходимые меры.
