Активность вирусных угроз и тех, кто за этим стоит


Каждый из вас наверняка задавался вопросами:
- для чего нужен антивирус?
- почему он так часто обновляется?
- почему так часто разработчики антивирусных программ выпускают различные утилиты и дополнения к основным программам защиты вашего устройства?

киберпреступник
На самом деле в этом есть смысл и следующая статья покажет вам насколько активно действуют кибер-злоумышленники, пытаясь при помощи различного вредоносного ПО завладеть вашими персональными данными, при этом умело заметая за собой все следы. Исходя из такой активности интернет-злоумышленников, аналитики и вынуждены осуществлять кропотливую работу по улучшению качества антивирусных программ.

При столь высокой активности распространителей кибер-угрозы, довольно сложно определить кем на самом деле являются злоумышленники, а зачастую даже невозможно. В этом безусловно есть немалая заслуга тех, кто так тщательно «заметает» свои следы, после совершения своих темных дел. Эксперты «Лаборатории Касперского» объясняют, как они это делают.

 Временные метки

Вредоносное ПО содержит временные метки, указывающие на то, когда был создан код. Анализ этих данных помогает определить рабочее время злоумышленников и вычислить часовой пояс, в котором они работают. Но этот метод нельзя назвать хоть немного надежным, так как временные метки легко заменить и подделать.

Языковые метки

Во вредоносных файлах существуют строчки, написанные на определенном языке или языках. Они могут содержать имена пользователей и внутренние названия операций и кампаний. Можно подумать, что сам факт наличия конкретного языка позволяет сделать определенные выводы. Но ниего не мешает злоумышленникам манипулировать этими уликами и вводить исследователей в заблуждение. К примеру во вредоносном ПО, использовавшемся в атаках Cloud Atlas, имелись строки на арабском языке (в версии для BlackBerry) и хинди (для Android). При этом аналитики предполагают, что группировка имеет восточноевропейское происхождение.

Инфраструктура и серверы

Обнаружить командно-контрольный сервер злоумышленников – это тоже самое, что узнать их домашний адрес. Это возможно в том случае, если атакующие предприняли недостаточно мер для сокрытия интернет-соединений при отправке данных на сервер или при получении от него команд. Но иногда эти «просчеты» злоумышленники совершают специально – так, в той же операции Cloud Atlas с целью запутать аналитиков применялись южнокорейские IP-адреса.

Инструментарий: вредоносное ПО, коды, пароли, эксплойты

Невзирая на то, что все больше АРТ-группировок полагаются на уже готовое вредоносное ПО, внушительная часть злоумышленников предпочитает создавать свои собственные инструменты: бэкдоры, программы слежения, эксплойты и т.п. Поэтому появление новых семейств зловредов позволяет исследователям заметить новых игроков на поле целевых атак. Но и эту ситуацию атакующие могут применять для прикрытия. Так, в ходе операции Turla злоумышленники столкнулись с тем, что загнали себя в угол внутри зараженной системы. И вместо того, чтобы поспешить свернуть свое вредоносное ПО, они установили очень редкий зловред китайского происхождения, нити которого вели к серверам в Пекине, что никак не было связано с Turla. В итоге, пока аналитики распутывали этот ложный след, атакующие незаметно стерли свои программы и удалили все следы присутствия в системе.


P.S. Если к вам на компьютер попали вирусы, обращайтесь в наш компьютерный сервис либо закажите выезд компьютерного мастера.

Добавить комментарий