Κατά την ανάλυση μιας στοχευμένης επίθεσης από ερευνητές ασφάλειας, ανακαλύφθηκε ένα ειδικά προσαρμοσμένο εργαλείο hacking, το οποίο έχει δημιουργηθεί από το 2002 και βρέθηκε να επικοινωνεί με διακομιστές που βρίσκονται στην Κίνα.
Το Vtask έχει γραφτεί σε Visual Basic (VB) και έχει σχεδιαστεί για να δραστηριοποιείται “υπογείως” σε παραβιασμένα συστήματα υπολογιστών με Windows. Σκοπός του είναι να αποκρύπτει τυχόν ενεργές, κακόβουλες διεργασίες – διαγράφοντας, συνεπώς, τα εμφανή ίχνη των ύποπτων δραστηριοτήτων που πραγματοποιούνται από τους επιτιθέμενους.
Ερευνητές ασφαλείας της Trend Micro ανέλυσαν τις λειτουργίες που υπάρχουν στο Vtask και διαπίστωσαν ότι στο control panel της εφαρμογής εμφανίζεται ο αριθμός των νόμιμων χρηστών που είναι συνδεδεμένοι στο μολυσμένο σύστημα, όπως και ο αριθμός των τρέχοντων διαδικασιών (processes) που εκτελούνται κάθε στιγμή σε αυτό.
Όταν δεν εκτελείται κάποια διεργασία, γεγονός που αποκαλύπτει ότι κανείς δεν χρησιμοποιεί τον υπολογιστή, οι επιτιθέμενοι αναλαμβάνουν δράση, πραγματοποιώντας κακόβουλες ενέργειες.
Όταν κάποιος χρήστης συνδεθεί, το Vtask κρύβει αυτόματα όλες τις ορατές διεργασίες, ώστε να μην μπορεί να γίνει αντιληπτό, και ο εισβολέας δεν μπορεί πλέον να δει την επιφάνεια εργασίας.
Επιπλέον, φαίνεται ότι το Vtask είναι εξοπλισμένο με λειτουργίες που επιτρέπουν την προστασία της ταυτότητας του χειριστή.
“Το πιο ενδιαφέρον κομμάτι είναι ότι Vtask προσπαθεί να αποκρύψει τις IPs που προέρχονται από ένα συγκεκριμένο εύρος διευθύνσεων IP (61.154.xx) – οι οποίες παραπέμπουν στην περιοχή Fujian της Κίνας – γεγονός που υποδηλώνει ότι αυτή είναι και η πηγή των επιθέσεων”, τονίζει η Trend Micro.
