Спецпроекты

Западным компаниям в Китае вместе с налоговым ПО устанавливают троян

Безопасность Администратору Стратегия безопасности Пользователю Бизнес Маркет

Как минимум две британские ИТ-компании, открывшие представительства в Китае, столкнулись с тем, что налоговое программное обеспечение, установленное по требованию местного банка, содержит троянец, функционирующий с правами System.

Восток – дело тонкое

Эксперты компании Trustwave обнаружили факты принудительной установки троянца-бэкдора западным компаниям, ведущим бизнес в Китае. Размах кампании не слишком велик, однако важен сам факт.

Троянец, как выяснилось, устанавливается вместе со специализированным налоговым ПО Intelligent Tax, которое разрабатывается подразделением Golden Tax китайской корпорации Aisino. Эксперты Trustwave идентифицировали его как GoldenSpy.

Минимум две британские технологические компании, открывшие представительства в Китае, установили себе этот пакет по требованию местного банка для оформления налоговой отчётности и выплат отчислений в местный бюджет.

xie600.jpg
Генеральный секретарь ЦК Компартии Китая, председатель КНР товарищ Си Цзиньпин

Одна из этих компаний является клиентом Trustwave. Эксперты по безопасности заподозрили неладное, обнаружив атипичный трафик, исходящий из сети клиентской фирмы, после чего обнаружилось, что вместе с Intelligent Tax в клиентские системы установился вредонос, постоянно обращающийся к внешним ресурсам.

Спустя два часа

Согласно анализу Trustwave, GoldenSpy устанавливается не сразу, а только через два часа после установки Intelligent Tax. В систему инсталлируются две идентичные версии троянца, обе стартуют при запуске и мониторят состояние друг друга. Если одна из копий по каким-то причинам перестаёт работать, вторая её перезапускает; в случае ее удаления - моментально скачивает и устанавливает ее заново.

Даже в случае деинсталляции Intelligent Tax, GoldenSpy остаётся на месте и продолжает функционировать.

Кроме того, GoldenSpy не использует инфраструктуру Intelligent Tax, а связывается с другим доменом - ningzhidata.com. После трёх попыток связаться с контрольным сервером, вредонос начинает слать запросы нерегулярно - это, видимо, сделано для того, чтобы снизить вероятность обнаружения защитными средствами сети.

Самое же неприятное - это что GoldenSpy функционирует с привилегиями уровня System, что означает, что он может совершать любые действия и запускать любое ПО на заражённой системе.

Эксперты Trustwave не смогли сказать определённо, идёт ли речь о действиях, санкционированных спецслужбами Китая, то есть, устанавливался ли вредонос по их указанию, или же речь идёт о чьей-то частной инициативе.

С другой стороны, как отмечает Securityaffairs.co, бэкдор носит цифровую подпись, выпущенную от имени компании Chenkuo Network Technology - с которой корпорация Aisino в октябре 2016 г. заключила контракт, связанный с обработкой больших данных.

В декабре 2016 г. начались и первые инциденты с использованием GoldenSpy.

«К сожалению, отвечая на вопрос, откуда взялся троянец, нельзя исключать ни одного варианта, - считает Анастасия Мельникова, эксперт по информационной безопасности компании SEC Consult Services. - Продвинутые троянцы могут использоваться и спецслужбами, и киберпреступниками, и недобросовестными сотрудниками легитимных компаний. Имеющихся на данный момент данных недостаточно, чтобы можно было с уверенностью говорить, кто это сделал. В любом случае, информация об этих атаках является поводом для других иностранных компаний, ведущих деятельность в Китае, проверить свои системы на предмет бэкдоров вроде GoldenSpy».