Правительственный бэкдор использует Windows BITS, чтобы скрыть трафик

Cloud Networks > Новости > Правительственный бэкдор использует Windows BITS, чтобы скрыть трафик
12.09.2019

Правительственный бэкдор использует Windows BITS, чтобы скрыть трафик

В атаках правительственных кибершпионов обнаружен новый бэкдор, который использует компонент Windows BITS (Background Intelligent Transfer Service), чтобы скрыть трафик, которым он обменивается с командным сервером.

По словам экспертов кибербезопасности, им известна группировка, стоящая за новым бэкдором — Stealth Falcon. Активность этих киберпреступников специалисты отслеживают уже несколько лет.

В настоящее время единственный отчёт об операциях Stealth Falcon датируется 2016 годом и принадлежит экспертам Citizen Lab, некоммерческой организации, специализирующейся на защите прав человека.

Citizen Lab сообщают, что группировка активна с 2012 года. Ранее для кибератак они использовали другой бэкдор, надписанный на PowerShell.

В опубликованном 9 сентября исследовании компании ESET утверждается, что Stealth Falcon перешла на использование более изощрённого и скрытного инструмента.

Основным методом, которым пользуется бэкдор для сокрытия своей деятельности в системе, является компонент Windows, известный под аббревиатурой BITS. BITS — служба фоновой передачи файлов, осуществляемая между клиентом и сервером.

Обнаружив новый зловред, эксперты ESET назвали его Win32/StealthFalcon. Он поясняют, что вредонос работает как стандартный бэкдор, позволяющий операторам загружать и запускать код или извлекать данные, оправляя их на сервер киберпреступников.

ESET обращают внимание, что Win32/StealthFalcon взаимодействует с командным центром (C&C) не через классические HTTP- или HTTPS-запросы, а скрывая трафик внутри BITS. Полагается, что такой подход позволяет злоумышленникам обходить файерволы. Пользователи привыкли, что BITS почти всегда содежрит только обновления уже установленных программных продуктов, потому очень часто игнорируют его.

Мы не передадим ваши данные третьим лицам и не будем донимать спамом
Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.
to-top