Компанія ESET — експерт у галузі інформаційної безпеки — повідомляє про виявлення деталей набору інструментів для шпигування, які використовувались при атаці на Малазійський уряд всередині 2018 року. Особливістю цих атак було те, що він складався з витоків вихідного коду відомого шкідливого програмного забезпечення та загальнодоступних інструментів.
Під час дослідження виявлених частин загрози спеціалісти ESET знайшли у коді елементи вже відомих шкідливих інструментів. Як основні бекдори використовувались інструменти віддаленого доступу Gh0st RAT та NetBot Attacker, які були розроблені ще у 2008 році та отримали популярність через те, що використовувались у найбільших атаках того часу.
Незвичайним є повторне використання коду для атак такого рівня. Зазвичай, шкідливе програмне забезпечення, створене для атак на державні установи включає унікальні шкідливі інструменти. У випадку атаки на Малайзійський уряд, навіть інструменти для уникнення виявлення були «запозичені» з коду Hacking Team.
Загалом набір шкідливих інструментів працював як бекдор. У випадку інфікування комп’ютера зловмисники могли здійснювати ексфільтрацію файлів або завантажувати файли на інфікований комп’ютер, а також редагувати та видаляти файли. Зловмисники також мали можливість контролювати та імітувати активність миші та клавіатури, збирати інформацію з системи, виконувати або припиняти процеси, а також вимикати або перезавантажувати систему.
Оскільки виявлено, що спроби атак здійснювались з середини мережі, дослідники ESET вважають, що зловмисники поширювали загрозу спочатку інфікувавши один найбільш уразливий комп’ютер або сервер у мережі. Звідти шкідливе програмне забезпечення почало розповсюджуватися всією мережею та було заблоковано на робочих станціях, захищених продуктами ESET.
Кожна атака такого рівня має свої особливості, але спеціалісти ESET радять використовувати якісне багаторівневе програмне забезпечення на всіх робочих станціях організації. Крім цього, важливим є регулярне оновлення програмного забезпечення, жорстка політика паролів, а також відключення протоколу прикладного рівня (RDP) та захист доступу до пристроїв двофакторною автентифікацією.