Сетевой червь, брошенный хакерами, продолжает заражать миллионы компьютеров
Итак, это целая детективная история, в которой присутствуют не только хакеры, черви, но даже IT-специалисты, возможно, работавшие на Министерство государственной безопасности Китая.
Чуть больше года на сайте компании Sophos, которая специализируется на сетевой безопасности, появилась статья про еще одного сетевого червя. Зловредное ПО, как оказалось, действовало по всему миру, плотно охватывая страны, расположенные в 10 часовых поясах.
Эксперты Sophos выяснили, что свое путешествие по планете червь начал еще в 2019 году, когда его создатели прикрутили к нему инструмент взлома под названием PlugX. Если коротко, то PlugX перемещался на USB-флешках. Попав в новый компьютер, он моментально заражал все физические и логические диски, которые там были. Когда в ПК попадала новая флешка, то червь с PlugX тут же оказывался и на ней, чтобы потом заразить другие устройства.
Небольшое отступление: первые вариант PlugX стали фиксироваться в интернете еще в 2008 году. Большинство экспертов, которые исследовали зловреда, уверены, что страна его происхождения — Китай, а программисты, которые его написали, скорее всего, работали на спецслужбы этой страны.
Хакеры контролировали все зараженные машины с одного-единственного IP-адреса, но по какой-то неизвестной до сих пор причине полностью забросили свое детище.
Затем к расследованию подключилась Sekoia, другая и еще более серьезная контора по безопасности. Всего за 7 долларов специалистам фирмы удалось приобрести сетевой адрес, с которого контролировался червь.
— рассказывали потом специалисты Sekoia Феликс Эме и Чарльз М.
Купив IP-адрес, ранее принадлежавший неизвестным хакерам, безопасники подключили к нему собственную серверную инфраструктуру. На ней сотрудники Sekoia настроили так называемые воронки, которые перехватывали трафик, идущий от червей по всему миру, и блокировали его дальнейшее продвижение.
По словам специалистов, каждый день на их сервер приходит трафик от 90 до 100 тысяч уникальных IP-адресов. Всего за полгода исследования эксперты Sekoia собрали базу из более чем 2,5 миллионов уникальных IP-адресов.
Также специалисты по сетевой безопасности заявили, что существует несколько разновидность данного USB-червя и что им известно, по меньшей мере, три других канала, по которым осуществляется контроль и командование зараженными ПК.
— написали в своей статье исследователи Sekoia.
По одной из версий, максимальная концентрация зараженных компьютеров находится в странах с большим количеством прибрежных городов, где правительство Китая делает огромные инвестиции в местную экономику и инфраструктуру.
Также есть предположение, что большинство из пострадавших стран имели важное стратегическое значение для китайских военных объектов.
Кроме того, исследователи считают, что главной целью компании был сбор максимально возможного количества разведданных, которые правительство Китая потом могло бы использовать для вышеописанных целей.
Столь широкое распространение USB-червя поставило руководство зараженных стран в сложное положение. С одной стороны, они могут просто сохранить статус-кво, ничего не делая. С другой, в черве есть команда самоудаления, активировав которую, можно очистить компьютер от зловреда.
Правда, тут есть одно серьезное но. Дезинфекция ПК чревата удалением на них важных данных. Но если оставить диски зараженными, то рано или поздно червь с них распространится на другие машины. И даже если сейчас специалисты Sekoia дадут со своего сервера приказ деактивироваться всем червям на ПК, то всеобщая зачистка все равно не случится, так как часть компьютеров неизбежно будут находиться не в сети. Также возможно, что часть ПК с червем внутри вообще не подключены к интернету, но при этом являются вирусоносителями, и с них флешками зловред постоянно уходит в путешествие по планете.
— предложили всем пострадавшим от действий червя эксперты Sekoia.
Чуть больше года на сайте компании Sophos, которая специализируется на сетевой безопасности, появилась статья про еще одного сетевого червя. Зловредное ПО, как оказалось, действовало по всему миру, плотно охватывая страны, расположенные в 10 часовых поясах.
Эксперты Sophos выяснили, что свое путешествие по планете червь начал еще в 2019 году, когда его создатели прикрутили к нему инструмент взлома под названием PlugX. Если коротко, то PlugX перемещался на USB-флешках. Попав в новый компьютер, он моментально заражал все физические и логические диски, которые там были. Когда в ПК попадала новая флешка, то червь с PlugX тут же оказывался и на ней, чтобы потом заразить другие устройства.
Небольшое отступление: первые вариант PlugX стали фиксироваться в интернете еще в 2008 году. Большинство экспертов, которые исследовали зловреда, уверены, что страна его происхождения — Китай, а программисты, которые его написали, скорее всего, работали на спецслужбы этой страны.
Хакеры контролировали все зараженные машины с одного-единственного IP-адреса, но по какой-то неизвестной до сих пор причине полностью забросили свое детище.
Затем к расследованию подключилась Sekoia, другая и еще более серьезная контора по безопасности. Всего за 7 долларов специалистам фирмы удалось приобрести сетевой адрес, с которого контролировался червь.
Изначально мы думали, что у нас будет несколько тысяч подключенных к нему жертв, как это обычно бывает. Однако, настроив простой веб-сервер, мы увидели непрерывный поток HTTP-запросов, меняющийся в зависимости от времени суток
— рассказывали потом специалисты Sekoia Феликс Эме и Чарльз М.
Купив IP-адрес, ранее принадлежавший неизвестным хакерам, безопасники подключили к нему собственную серверную инфраструктуру. На ней сотрудники Sekoia настроили так называемые воронки, которые перехватывали трафик, идущий от червей по всему миру, и блокировали его дальнейшее продвижение.
По словам специалистов, каждый день на их сервер приходит трафик от 90 до 100 тысяч уникальных IP-адресов. Всего за полгода исследования эксперты Sekoia собрали базу из более чем 2,5 миллионов уникальных IP-адресов.
Также специалисты по сетевой безопасности заявили, что существует несколько разновидность данного USB-червя и что им известно, по меньшей мере, три других канала, по которым осуществляется контроль и командование зараженными ПК.
Основываясь на этих данных, примечательно, что примерно на 15 стран приходится более 80% от общего числа заражений. Также интересно отметить, что ведущие зараженные страны не имеют большого сходства, что наблюдалось с предыдущими USB-червями, такими как RETADUP, у которых самый высокий уровень заражения в испаноязычных странах. Это наводит на мысль о возможности того, что этот червь мог возникнуть из нескольких нулевых пользователей в разных странах
— написали в своей статье исследователи Sekoia.
По одной из версий, максимальная концентрация зараженных компьютеров находится в странах с большим количеством прибрежных городов, где правительство Китая делает огромные инвестиции в местную экономику и инфраструктуру.
Также есть предположение, что большинство из пострадавших стран имели важное стратегическое значение для китайских военных объектов.
Кроме того, исследователи считают, что главной целью компании был сбор максимально возможного количества разведданных, которые правительство Китая потом могло бы использовать для вышеописанных целей.
Столь широкое распространение USB-червя поставило руководство зараженных стран в сложное положение. С одной стороны, они могут просто сохранить статус-кво, ничего не делая. С другой, в черве есть команда самоудаления, активировав которую, можно очистить компьютер от зловреда.
Правда, тут есть одно серьезное но. Дезинфекция ПК чревата удалением на них важных данных. Но если оставить диски зараженными, то рано или поздно червь с них распространится на другие машины. И даже если сейчас специалисты Sekoia дадут со своего сервера приказ деактивироваться всем червям на ПК, то всеобщая зачистка все равно не случится, так как часть компьютеров неизбежно будут находиться не в сети. Также возможно, что часть ПК с червем внутри вообще не подключены к интернету, но при этом являются вирусоносителями, и с них флешками зловред постоянно уходит в путешествие по планете.
Из-за возможных юридических последствий, связанных с выполнением масштабной дезинфекции, подразумевающей отправку команды на рабочие станции, не принадлежащие нам, мы решили поручить национальным группам реагирования на компьютерные чрезвычайные ситуации, правоохранительным органам и органам кибербезопасности самим принять решение о проведении дезинфекции рабочих станций в соответствующих странах.
После получения списка для дезинфекции мы предоставим доступ для ее проведения в течение трех месяцев. В этот период PlugX будет отвечать на запросы от автономных систем, отмеченных для дезинфекции, командами удаления или вредоносными программами для устранения угроз
После получения списка для дезинфекции мы предоставим доступ для ее проведения в течение трех месяцев. В этот период PlugX будет отвечать на запросы от автономных систем, отмеченных для дезинфекции, командами удаления или вредоносными программами для устранения угроз
— предложили всем пострадавшим от действий червя эксперты Sekoia.
Наши новостные каналы
Подписывайтесь и будьте в курсе свежих новостей и важнейших событиях дня.
Рекомендуем для вас
Таинственная «дверь» обнаружена в Антарктиде
Теория заговора против официальной науки: кто окажется прав?...
15 000 американских городов станут призраками в ближайшие десятилетия
Ученые уверены, что «там просто некому будет жить»....
Не по вкусу: комары пьют кровь не у всех подряд
Полезно понимать для защиты от опасных насекомых....
НЛО управляют армией беспилотников, которые следят за военными базами США
Загадочные дроны буквально терроризируют американских военных летчиков....
Странный случай: укус змеи подействовал на австралийца спустя 15 часов
Только 10% укушенных на самом деле получают дозу яда....
Собаки поднялись на новую ступень эволюции
Третья стадия одомашнивания — что это значит?...
20 млн жителей США могут остаться без воды
Великие озера поразила небывалая засуха....
Первые оседлые люди в Европе: в Сербии обнаружили дом возрастом 8000 лет
Обгорелое жилище перевернуло представления о ранних поселенцах....
Вспененный гель быстро останавливает кровотечение и снижает риск заражения
Учёные изобрели спасающую жизнь «повязку»....
Кошки могут понимать многие слова
Но для экспериментов голос хозяина произносил бессмыслицу....
Google срочно переходит на атомную энергию
АЭС опасны, но у Америки просто нет выхода....
Первая частная космическая станция появится на орбите в 2025 году
Комплекс, созданный с учетом проблем астронавтов, потянул на миллиард долларов....
Американские ученые отрицают ускорение глобального потепления
Формально, так и есть, но это ещё не всё....
Окаменелости в Индии рассказали о самом раннем случае разделки слонов людьми
Это произошло не менее 300 тысяч лет назад....
Детекторы ИИ ложно обвинили студентов в плагиате
Ничто не ново на всё 100%....
Режиссер фильма «Я, робот» утверждает, что Илон Маск крадет его идеи
Смех смехом, но новые проекты Маска удивительно похожи на кадры из фильма....