Компания ESET — эксперт в области информационной безопасности — сообщает об обнаружении деталей набора инструментов для шпионажа, которые использовались при атаке на правительство Малайзии в середине 2018 года. Особенностью этих атак было то, что он состояли из утечек исходного кода известного вредоносного программного обеспечения и общедоступных инструментов.
Во время исследования обнаруженных частей угрозы специалисты ESET обнаружили в коде элементы уже известных вредоносных инструментов. В качестве основных бэкдоров использовались инструменты удаленного доступа Gh0st RAT и NetBot Attacker, которые были разработаны еще в 2008 году и получили популярность из-за того, что использовались в самых больших атаках того времени.
Необычным является повторное использование кода для атак такого уровня. Обычно, вредоносное программное обеспечение, созданное для атак на государственные учреждения включает уникальные вредоносные инструменты. В случае атаки на правительство Малайзии, даже инструменты для избежания обнаружения были «позаимствованы» из кода Hacking Team.
Набор вредоносных инструментов работал как бэкдор. В случае инфицирования компьютера злоумышленники могли осуществлять эксфильтрацию файлов или загружать файлы на инфицированный компьютер, а также редактировать и удалять файлы. Злоумышленники также имели возможность контролировать и имитировать активность мыши и клавиатуры, собирать информацию из системы, выполнять или прекращать процессы, а также выключать или перезагружать систему.
Поскольку установлено, что попытки атак осуществлялись изнутри сети, исследователи ESET считают, что злоумышленники распространяли угрозу сначала инфицировав один наиболее уязвимый компьютер или сервер в сети. Оттуда вредоносное программное обеспечение начало распространяться по всей сети и было заблокировано на рабочих станциях, защищенных продуктами ESET.
Каждая атака такого уровня имеет свои особенности, но специалисты ESET советуют использовать качественное многоуровневое программное обеспечение на всех рабочих станциях организации. Кроме этого, важно регулярное обновление программного обеспечения, жесткая политика паролей, а также отключение протокола прикладного уровня (RDP) и защита доступа к устройствам двухфакторной аутентификацией.