Хакеры научились создавать ботнеты из легального ПО
Преступники создают ботнеты с помощью легитимных инструментов для удаленного администрирования. Утилиты, разработанные компанией Breaking Security, применялись в ряде целевых фишинговых атак, нацеленных на организации в Турции, Испании, Польше и Великобритании.
Легальная утилита или вредоносный бэкдор?
Хакеры используют для своих атак легитимные инструменты удаленного доступа. Об этом говорится в докладе, опубликованном компанией Cisco Talos. В частности, в нем указывается, что инструмент дистанционного управления Remcos, разработанный компанией Breaking Security, и утилита шифрования Octopus Protector, наряду с другими программами этого производителя, используются злоумышленниками для настройки и обслуживания ботнетов.
Утилита Remcos (сокращение от Remote Control и Surveillance) распространяется по цене от €58 до €389 и позволяет контролировать любую версию операционной системы Windows, начиная с XP. После установки, это ПО можно задействовать для мониторинга пользовательской активности, включая ведение журнала нажатий клавиш, дистанционное получение снимков экрана и удаленное выполнение команд. Утилита способна одновременно обрабатывать соединения с несколькими системами.
Breaking Security утверждает, что их программное обеспечение предназначено только для законного использования и согласно правилам оказания услуг, размещенным на сайте компании, применение продуктов разрешено исключительно в легитимных целях, а любое нарушение повлечет за собой отзыв лицензии.
Тем не менее, по данным Cisco Talos, Remcos широко используется злоумышленниками. Зарегистрировано применение этого инструмента для целенаправленных фишинговых атак на международные информагентства, подрядчиков оборонных предприятий, организации, связанные с различными критически важными секторами инфраструктуры, производителей дизельного оборудования и поставщиков услуг в морской и энергетической сферах. Жертвами киберпрестуников стали предприятия в Турции, Испании, Польше и Великобритании.
Авторы доклада также отмечают, что программное обеспечение Breaking Security активно рекламируется на профильных хакерских форумах. Кроме того приводится пример, где один из пользователей делится своим опытом применения инструментов этой компании для управления двумя сотнями ботов.
Исходя из этого, специалисты Cisco Talos сменили классификацию Remcos на троянское программное обеспечение для удаленного доступа (RAT), и советуют администраторам проверять и обрабатывать установку Remcos, как и любого другого троянца или вредоносного ПО.
Разработчики не согласны
В ответ на обвинения Cisco Talos разработчик инструмента Remcos Франческо Виотто (Francesco Viotto) заявил, что эта утилита предназначена исключительно для законного использования, а компания производитель располагает способами блокировки недобросовестных пользователей.
«Благодаря тому, что наше ПО достаточно мощное и универсальное, некоторые пользователи злоупотребляли им и применяли его для управления машинами, не имея на это законного права. Это явно запрещено условиями пользовательского соглашения, которые любой клиент должен принять до регистрации и покупки на нашем сайте, – заявил прессе Франческо Виотто. – В случае, если мы узнаем о злоупотреблении нашим программным обеспечением, мы можем немедленно отозвать лицензию и после этого пользователь будет автоматически заблокирован».
По его словам, специалисты Cisco Talos не отправили ни одного уведомления о вредоносном использовании Remcos, хотя для подобных случаев на сайте Breaking Security размещен адрес электронной почты. Из чего Виотто сделал вывод, что в Cisco Talos не были заинтересованы в пресечении вредоносной кампании.
По мнению экспертов, такая позиция Breaking Security создает риски для кибербезопасности предприятий и вполне закономерно, что эти инструменты могут расцениваться как вредоносное программное обеспечение.
«Не вызывает сомнения тот факт, что компания-разработчик подобных утилит должна тщательно расследовать инциденты, связанные с использованием разрабатываемого ею ПО, и вносить изменения по результатам анализа подобных ситуаций, чтобы предотвратить их возникновение в будущем. Или компания может довольствоваться тем, что разработанное ею ПО будет отнесено к классу злонамеренного, – прокомментировал Ренат Ильяшев, системный инженер Fortinet. – Возможность использования утилит удаленного администрирования для построения ботнетов можно достаточно легко пресечь в случае желания разработчика. Для этого есть огромное количество способов. Например, устанавливать значок приложения в трее или запрашивать разрешение пользователя в явном виде при каждом подключении и т.д. В любом случае, такой подход со стороны разработчиков, когда они предпочитают реагировать только на явно выявленные инциденты, не удаляя возможность использования ПО в нелегитимных целях, вызывает очень большие вопросы и не должен оставаться без внимания, поскольку создает риски для компании, где это ПО было обнаружено. Результат вполне закономерен и с моей точки зрения справедлив».
Между тем Cisco Talos уже предупредила правоохранительные органы США об использовании Remcos в нескольких глобальных хакерских кампаниях.