Ðнна Седокова Между нами кайф
Вредоносная программа с функциями очистки данных, которая недавно использовалась для атаки Sony Pictures Entertainment, имеет техническое сходство с деструктивными вредоносными программами, которые в прошлом затрагивали организации в Южной Корее и на Ближнем Востоке.
Безопасность исследователи из «Лаборатории Касперского», Symantec и Blue Coat Systems независимо сообщили, что Trojan Destover, вредоносная программа, используемая при атаке Sony Pictures, полагалась на законный коммерческий драйвер EldoS RawDisk для перезаписи данных и основных загрузочных записей.
Тот же самый драйвер был используемый куском вредоносного ПО под названием Шамун, который, как полагают, использовался в августе 2012 года, чтобы отобразить до 30 000 компьютеров inope (
). [] [
]. Ранее неизвестная группа хактивистов под названием «Режущий меч правосудия» взяла на себя ответственность за нападение на Саудовскую Аравию Арамко через серию сообщений на Пастбине. Группа заявила, что она нацелена на компанию, поскольку она является основным источником финансирования режима Саудовской Аравии в Аль-Сауде, который, как утверждала группа, поддерживал решительные действия правительства в таких странах, как Сирия, Бахрейн, Йемен, Ливан и Египет.
Атака на Sony Pictures Развлечения проводилась другой ранее неизвестной группой под названием «Хранитель мира» (GOP), которая утверждала, что она нацелилась на компанию, потому что «Sony и Sony Pictures совершили страшную расовую дискриминацию и нарушения прав человека, неизбирательную тиранию и реструктуризацию в последние годы».
Совместное использование стороннего драйвера недостаточно для установления прямой связи между двумя вредоносными программами, но возможно, что создатели Destover копировали методы из Shamoon, тем более что драйвер EldoS RawDisk является необычным выбором для реализуя функции очистки данных.
Оба Destover и Shamoon сохранили драйвер EldoS RawDisk в своих разделах ресурсов, и оба были com заложенные всего за несколько дней до того, как их использовали в нападениях, исследователи из «Лаборатории Касперского» сказали в сообщении в блоге.
Destover разделяет еще больше обыденностей с другой программой вредоносного программного обеспечения Wiper под названием DarkSeoul или Jokra, которая затронула несколько банков и вещательных организаций в Южной Корее в марте 2013 года.
«Вредоносная программа, используемая при атаках Jokra, содержала код, который не начинал стирать жесткий диск до истечения заданного периода времени», - говорят исследователи из Symantec в блоге. «Destover также настроен на выполнение отложенной очистки. Кроме того, средства массовой информации в Южной Корее сообщили, что в обеих атаках использовалось несколько похожих имен файлов ».
Атаки Jokra сопровождались сбоями веб-сайта, которые отображали сообщение от неясной группы хакеров, называемых Whois Team. «Это начало нашего движения», - говорится в сообщении. «Учетные записи пользователей и все данные находятся в наших руках».
GOP также оставил сообщение для Sony Pictures, в котором сообщается, что компания получила свои внутренние данные, а сообщения GOP и Whois Team сопровождались изображениями скелетов, хотя это может быть простым совпадением.
«Как и DarkSeoul, исполняемые файлы очистителя Destover были скомпилированы где-то между 48 часами до атаки и фактическим днем атаки», - сказали исследователи Касперского. «Очень маловероятно, что злоумышленники копают свой путь на большое количество пользователей и весьма вероятно, что они получили неограниченный доступ ко всей сети до атаки».
Более сильное соединение было установлено Symantec между Destover и бэкдор-программа, известная как Volgmer, которая позволяет злоумышленникам получать системную информацию, выполнять команды, загружать файлы и загружать файлы для выполнения.
«Некоторые образцы Destover сообщают серверу с командованием и контролем (C & C), который также использовался версией Trojan.Volgmer, созданной для атаки южнокорейских целей», - сказали исследователи Symantec. «Общий C & C указывает, что одна и та же группа может быть за обе атаки».
Очевидные связи между Destover и вредоносным ПО, которые использовались для южнокорейских организаций, скорее всего, будут стимулировать продолжение спекуляций о том, что Северная Корея может оказаться за атакой против Sony Pictures Развлечения, предположительно, как возмездие за предстоящий комедийный фильм под названием «Интервью», в котором два журналиста спрашивают ЦРУ, чтобы убить северокорейского лидера Ким Чен Юна. Северная Корея, как сообщается, отрицала свою причастность к нападению.
Разрушительные вредоносные программы, которые попадают в Sony Pictures, похожие на другие программы для очистки данных
Исследователи обнаружили сходство между троянской программой, используемой для Sony Pictures и другими используется в Южной Корее и Саудовской Аравии
Мошенничество с рекламными сообщениями. Троянец обновляет Flash Player, чтобы другие вредоносные программы не могли попасть в
. Несмотря на то, что они распространяются с помощью наборов эксплойтов, троянец Kovter, похоже, разрушает их бизнес, исправляя ценные недостатки
