Хакеров уличили в использовании антивирусного сайта Google для поиска багов во вредоносном коде02.09.2014 23:05

6d86virustotal-used-54060bf04ec4e.jpg

Схему с использованием злоумышленниками противовирусного ресурса американской IT-компании удалось обнаружить блогеру Брэндону Диксону (Brandon Dixon), специализирующемуся на изучении вопросов кибербезопасности.

По его данным, хакеры проверяли код с помощью сайта VirusTotal — агрегатора, предоставляющего пользователям бесплатный доступ к антивирусному ПО почти 50 сторонних компаний-разработчиков от Symantec до «Лаборатории Касперского». Основанная в Испании компания VirusTotal принадлежит Google с 2012 года.

В течение нескольких лет Дискон отслеживал загружаемые на VirusTotal файлы с кодом, при помощи специального алгоритма выявляя те из них, что содержат в себе вирусы. В итоге ему удалось обнаружить несколько групп хакеров, регулярно проверявших на ресурсе создаваемые ими вредоносные программы.

По именам их документов, датам и IP-адресам, хранящимся в метаданных, блогер установил, что вирусы загружались на проверку одними и теми же людьми, принадлежащими к хакерским командам из Китая и Ирана.

6d86virustotal-used-54060d46b5cb4.jpgБрэндон Диксон

Одна из таких команд — Comment Crew, также известная, как APT1 — спонсируется китайским правительством и ранее брала на себя ответственность за взлом сайта газеты The New York Times и официального портала корпорации Coca-Cola. 

Другая группа — NetTraveler. Команда тоже базируется в Китае и использует VirusTotal для проверки кодов, с помощью которых затем атакует ресурсы Далай Ламы и различных организаций, выступающих за независимость Тибета.

В июне этого года блогеру также удалось обнаружить активную группировку хакеров, работавших с иранских IP-адресов. За несколько месяцев они загрузили для проверки на VirusTotal более тысячи вирусных документов. Для сравнения, хакеры из Китая каждый год проверяли на антивирусном сайте Google около 350–400 документов.

Обнаружить хакеров было непросто. Сначала, когда я смотрел на все полученные мной данные, я даже не знал с чего начать поиски. Но позже оказалось, что хакеры используют для выгрузки файлов всего два-три IP-адреса. Только спустя какое-то время они, судя по всему поняли, что за ними могут следить и стали постоянно менять IP. Брэндон Диксон

За день до публикации в Wired Диксон выложил у себя в блоге исходный код написанной им программы, собирающей метаданные загружаемых на VirusTotal файлов. По словам блогера, он надеется, что к отслеживанию хакеров, паразитирующих на антивирусном ресурсе Google, теперь подключатся и другие исследователи.

Представители Google на момент написания этой заметки никак не прокомментировали сведения об использовании VirusTotal хакерами.

©  TJournal