Правительственный бэкдор использует Windows BITS, чтобы скрыть трафик

В атаках правительственных кибершпионов обнаружен новый бэкдор, который использует компонент Windows BITS (Background Intelligent Transfer Service), чтобы скрыть трафик, которым он обменивается с командным сервером.

По словам экспертов кибербезопасности, им известна группировка, стоящая за новым бэкдором — Stealth Falcon. Активность этих киберпреступников специалисты отслеживают уже несколько лет.

В настоящее время единственный отчёт об операциях Stealth Falcon датируется 2016 годом и принадлежит экспертам Citizen Lab, некоммерческой организации, специализирующейся на защите прав человека.

Citizen Lab сообщают, что группировка активна с 2012 года. Ранее для кибератак они использовали другой бэкдор, надписанный на PowerShell.

В опубликованном 9 сентября исследовании компании ESET утверждается, что Stealth Falcon перешла на использование более изощрённого и скрытного инструмента.

Основным методом, которым пользуется бэкдор для сокрытия своей деятельности в системе, является компонент Windows, известный под аббревиатурой BITS. BITS — служба фоновой передачи файлов, осуществляемая между клиентом и сервером.

Обнаружив новый зловред, эксперты ESET назвали его Win32/StealthFalcon. Он поясняют, что вредонос работает как стандартный бэкдор, позволяющий операторам загружать и запускать код или извлекать данные, оправляя их на сервер киберпреступников.

ESET обращают внимание, что Win32/StealthFalcon взаимодействует с командным центром (C&C) не через классические HTTP- или HTTPS-запросы, а скрывая трафик внутри BITS. Полагается, что такой подход позволяет злоумышленникам обходить файерволы. Пользователи привыкли, что BITS почти всегда содежрит только обновления уже установленных программных продуктов, потому очень часто игнорируют его.