Хакеры научились создавать ботнеты из легального ПО

Легальная утилита иливредоносный бэкдор? Хакеры используют для своих атак легитимные инструменты удаленногодоступа. Об этом говорится в докладе, опубликованном компанией Cisco Talos. Вчастности, в нем указывается, что инструмент дистанционного управления Remcos,разработанный компанией Breaking Security, и утилита шифрования Octopus Protector,наряду с другими программами этого производителя, используются злоумышленникамидля настройки и обслуживания ботнетов. Утилита Remcos (сокращение от Remote Control и Surveillance)распространяется по цене от €58 до €389 и позволяет контролировать любую версиюоперационной системы Windows, начиная с XP. После установки, это ПО можно задействоватьдля мониторинга пользовательской активности, включая ведение журнала нажатийклавиш, дистанционное получение снимков экрана и удаленное выполнение команд. Утилита способна одновременно обрабатывать соединения снесколькими системами. Breaking Security утверждает, что их программное обеспечениепредназначено только для законного использования и согласно правилам оказанияуслуг, размещенным на сайте компании, применение продуктов разрешено исключительнов легитимных целях, а любое нарушение повлечет за собой отзыв лицензии.

Cisco Talos уже предупредила правоохранительные органы США об использовании Remcos в нескольких глобальных хакерских кампаниях Тем не менее, по данным Cisco Talos, Remcos широко используетсязлоумышленниками. Зарегистрировано применение этого инструмента дляцеленаправленных фишинговых атак на международные информагентства, подрядчиковоборонных предприятий, организации, связанные с различными критически важнымисекторами инфраструктуры, производителей дизельного оборудования и поставщиковуслуг в морской и энергетической сферах. Жертвами киберпрестуников сталипредприятия в Турции, Испании, Польше и Великобритании. Авторы доклада также отмечают, что программное обеспечение BreakingSecurity активно рекламируется на профильных хакерских форумах. Кроме того приводитсяпример, где один из пользователей делится своим опытом применения инструментовэтой компании для управления двумя сотнями ботов. Исходя из этого, специалисты Cisco Talos смениликлассификацию Remcos на троянское программное обеспечение для удаленного доступа (RAT), и советуют администраторампроверять и обрабатывать установку Remcos, как и любого другого троянца или вредоносного ПО. Разработчики не согласны В ответ на обвинения Cisco Talos разработчик инструмента RemcosФранческо Виотто (Francesco Viotto) заявил, что эта утилита предназначенаисключительно для законного использования, а компания производитель располагаетспособами блокировки недобросовестных пользователей. «Благодаря тому, что наше ПО достаточно мощное и универсальное,некоторые пользователи злоупотребляли им и применяли его для управления машинами,не имея на это законного права. Это явно запрещено условиями пользовательскогосоглашения, которые любой клиент должен принять до регистрации и покупки на нашемсайте, – заявил прессе Франческо Виотто. – В случае, если мы узнаем о злоупотреблениинашим программным обеспечением, мы можем немедленно отозвать лицензию и после этогопользователь будет автоматически заблокирован». По его словам, специалисты Cisco Talos не отправили ниодного уведомления о вредоносном использовании Remcos, хотя для подобныхслучаев на сайте Breaking Security размещен адрес электронной почты. Из чего Виоттосделал вывод, что в Cisco Talos не были заинтересованы в пресечении вредоноснойкампании. По мнению экспертов, такая позиция Breaking Security создаетриски для кибербезопасности предприятий и вполне закономерно, что этиинструменты могут расцениваться как вредоносное программное обеспечение. «Не вызывает сомнения тот факт, что компания-разработчик подобныхутилит должна тщательно расследовать инциденты, связанные с использованием разрабатываемогоею ПО, и вносить изменения по результатам анализа подобных ситуаций, чтобы предотвратитьих возникновение в будущем. Или компания может довольствоваться тем, что разработанноеею ПО будет отнесено к классу злонамеренного, – прокомментировал Ренат Ильяшев, системный инженер Fortinet. – Возможность использования утилит удаленного администрированиядля построения ботнетов можно достаточно легко пресечь в случае желания разработчика.Для этого есть огромное количество способов. Например, устанавливать значок приложенияв трее или запрашивать разрешение пользователя в явном виде при каждом подключениии т.д. В любом случае, такой подход со стороны разработчиков, когда они предпочитаютреагировать только на явно выявленные инциденты, не удаляя возможность использованияПО в нелегитимных целях, вызывает очень большие вопросы и не должен оставаться безвнимания, поскольку создает риски для компании, где это ПО было обнаружено. Результатвполне закономерен и с моей точки зрения справедлив». Между тем Cisco Talos уже предупредила правоохранительныеорганы США об использовании Remcos в нескольких глобальных хакерских кампаниях. Ссылка на источник