Μία τράπεζα στην Κίνα, έχει αναγκάσει τουλάχιστον δύο δυτικές επιχειρήσεις, να εγκαταστήσουν στα συστήματά τους ένα μολυσμένο φορολογικό software.
Πρόκειται για μία εταιρεία παροχής τεχνολογίας/λογισμικού με έδρα της το Ηνωμένο Βασίλειο και ένα χρηματοπιστωτικό ίδρυμα. Και οι δύο εταιρείες είχαν πρόσφατα ανοίξει νέα γραφεία στην Κίνα.
Όπως αναφέρει η Trustwave, επικοινωνώντας με τις δύο επιχειρήσεις διαπίστωσε ότι η τράπεζα απαίτησε και από τις δύο να εγκαταστήσουν το μολυσμένο λογισμικό. Το software, που ονομάζεται Intelligent Tax, χρησιμοποιείται για τις πληρωμές των τοπικών φόρων.
GoldenSpy Backdoor
Η Trustwave, η οποία παρέχει υπηρεσίες ασφάλειας στον κυβερνοχώρο στην εταιρεία παροχής λογισμικού, δήλωσε ότι εντόπισε το κακόβουλο λογισμικό αφού παρατήρησε ύποπτα αιτήματα δικτύου που προέρχονταν από το δίκτυο των πελατών της.
Όταν οι ερευνητές έλεγξαν το λογισμικό Intelligent Tax, διαπίστωσαν ότι ενώ πράγματι λειτουργεί για την πληρωμή τοπικών φόρων, διαθέτει κι ένα κρυφό Backdoor.
Το εν λόγω Backdoor, το οποίο η εταιρεία ασφαλείας ονόμασε GoldenSpy, επιτρέπει πρόσβαση σε επίπεδο συστήματος, με αποτέλεσμα ένας απομακρυσμένος εισβολέας να μπορεί να συνδεθεί στο μολυσμένο σύστημα και να εκτελεί εντολές Windows ή να ανεβάζει και να εγκαθιστά άλλο λογισμικό.
Η Trustwave δήλωσε ότι εντόπισε ορισμένα χαρακτηριστικά που βρίσκονται συχνά σε κακόβουλα προγράμματα και δεν έχουν νόμιμες χρήσεις πουθενά αλλού:
- Το GoldenSpy εγκαθιστά δύο πανομοιότυπες εκδόσεις του, ως υπηρεσίες μόνιμης αυτόματης εκκίνησης. Εάν σταματήσει να λειτουργεί η μία, θα αρχίσει να λειτουργεί η άλλη. Επιπλέον, χρησιμοποιεί μια μονάδα exeprotector που παρακολουθεί σε περίπτωση που μία από τις εκδόσεις διαγραφεί. Αν γίνει αυτό, θα πραγματοποιήσει λήψη και εκτέλεση νέας έκδοσης. Έτσι είναι πολύ δύσκολο να αφαιρεθεί από ένα σύστημα.
- Ακόμα κι αν κάποιος απεγκαταστήσει το Intelligent Tax software, το GoldenSpy θα συνεχίσει να λειτουργεί ως Backdoor.
- Το GoldenSpy δεν εγκαθίσταται αμέσως στη συσκευή του θύματος. Αντίθετα πρέπει να περάσουν τουλάχιστον δύο ώρες από την εγκατάσταση του Intelligent Tax και στη συνέχεια το κακόβουλο λογισμικό γίνεται λήψη χωρίς καμία ενημέρωση, με αποτέλεσμα να μην γίνεται αντιληπτό.
- Το GoldenSpy δεν επικοινωνεί με την υποδομή δικτύου του φορολογικού λογισμικού (i-xinnuo [.] Com), αλλά απευθύνεται στο ningzhidata [.] Com, ένα domain που είναι γνωστό ότι φιλοξενεί κι άλλες παραλλαγές του κακόβουλου λογισμικού. Μετά τις τρεις πρώτες προσπάθειες επικοινωνίας με τον C&C server, τυχαιοποιεί τους χρόνους σήματος, μια μέθοδος που χρησιμοποιείται για την αποφυγή του εντοπισμού του από τεχνολογίες ασφαλείας.
- Το GoldenSpy λειτουργεί με προνόμια επιπέδου συστήματος, καθιστώντας το εξαιρετικά επικίνδυνο και ικανό να εκτελεί οποιοδήποτε λογισμικό στο σύστημα.
Από που προήλθε;
Παρόλο που η Trustwave κατάφερε να εντοπίσει το Backdoor στο Aisino Intelligent Tax Software, δεν μπόρεσε να ανακαλύψει ποιος το τοποθέτησε εκεί εξ αρχής.
Θα μπορούσε να προέρχεται είτε από κυβερνητικούς hacker, που το τοποθέτησαν κρυφά στο software, είτε από κάποιον απατεώνα υπάλληλο της τράπεζας.
Ωστόσο όποιος κι αν ευθύνεται για το συγκεκριμένο Backdoor, είναι πολύ σημαντικό άλλες επιχειρήσεις που συνεργάζονται με τράπεζες τις Κίνας να είναι ιδιαίτερα προσεκτικές, καθώς υπάρχει περίπτωση να ζητηθεί και σε αυτές να εγκαταστήσουν το εν λόγω λογισιμικό.
