Zero
Kaspersky Lab ha detto oggi che ha rilevato i computer infettati con DarkPulsar, un malware impianto che è stato presumibilmente sviluppato dalla US National Security Agency (NSA).
“Abbiamo trovato circa 50 vittime, ma credo che la cifra era molto più alto,” Kaspersky Lab hanno detto i ricercatori di oggi.
“Tutte le vittime si trovavano in Russia, l’Iran e l’Egitto, e in genere Windows 2003/2008 Server è stato infettato,” ha detto la società. “Gli obiettivi sono relativi all’energia nucleare, telecomunicazioni, informatica, aerospaziale, e R&D.”
Kaspersky ricercatori sono stati in grado di analizzare DarkPulsar perché era uno dei tanti strumenti di hacking che erano oggetto di dumping online nella primavera del 2017.
Gli strumenti di hacking sono trapelati da un gruppo di hacker conosciuto come the Shadow Broker, il quale sosteneva che hanno rubato loro l’Equazione di Gruppo, un nome in codice dato dai cyber-sicurezza settore di un gruppo che è universalmente creduto di essere la NSA.
DarkPulsar è andato in gran parte inosservato per più di 18 mesi, come il 2017 dump incluso anche EternalBlue, l’exploit che hanno alimentato l’anno scorso tre ransomware focolai –WannaCry, NotPetya, e il Male di Coniglio.
Quasi tutti i infosec comunità sono puntati gli occhi su EternalBlue per l’anno passato, e per una buona ragione, come l’exploit è ormai diventato merce di malware.
Ma negli ultimi mesi, Kaspersky ricercatori, inoltre, hanno iniziato a scavare più a fondo in altri strumenti di hacking trapelato da the Shadow Broker scorso anno.
Si guardarono FuzzBunch, che è un exploit quadro che l’Equazione di Gruppo è stato utilizzato per distribuire exploit e malware delle vittime sistemi utilizzando un CLI interfaccia simile a Metasploit pen-testing framework.
Essi hanno visto anche DanderSpritz, un FuzzBunch plugin che funziona come un’applicazione GUI per il controllo infetti vittime.
DarkPulsar è un FuzzBunch “impianto”, un termine tecnico che significa “malware”, che è spesso utilizzato insieme con DanderSpritz.
Ma in un rapporto pubblicato oggi, Kaspersky ricercatori hanno detto che il DarkPulsar codice incluso in the Shadow Broker perdita non è la totalità di DarkPulsar.
“Abbiamo analizzato questo strumento e si è capito che non è una backdoor per sé, ma la parte amministrativa”, Kaspersky ha detto.
Una svolta è arrivata quando si sono resi conto che alcune costanti dal DarkPulsar interfaccia di amministrazione di codice sono stati anche più probabilità utilizzato dal malware vero e proprio.
Immagine: Kaspersky Lab
I ricercatori hanno creato particolari regole per rilevare queste costanti nel file scansionato da antivirus Kaspersky. Questo è quanto hanno rilevato i circa 50 computer erano ancora infetto con l’attuale DarkPulsar malware.
Basato sulle funzioni hanno trovato nel DarkPulsar interfaccia di amministrazione, i ricercatori dicono che il malware viene utilizzato principalmente come una backdoor per i computer infetti.
Il malware caratteristiche principali sono la sua capacità di eseguire codice arbitrario tramite una funzione denominata “RawShellcode” e la possibilità di caricare altri DanderSpritz payload (malware) tramite il “EDFStageUpload” la funzione, ampliando notevolmente l’operatore attesa e la funzionalità di un sistema infetto.
Kaspersky ricercatori credono anche che il numero di computer che sono stati infettati con DarkPulsar è più probabilità maggiore del 50 rilevamenti hanno trovato.
Inoltre, il malware incluso un auto-funzione di cancellazione, che l’Equazione Gruppo di operatori che potrebbero utilizzato per coprire le loro tracce dopo la Shadow Broker oggetto di dumping i loro strumenti online.
“Così il 50 vittime sono molto probabilmente solo quelli che gli aggressori hanno semplicemente dimenticato,” i ricercatori hanno detto.
Per chi c’è dietro questi hack, Kaspersky non ha detto. Non è chiaro se la Shadow Broker riuscito a mettere le mani sull’intero DarkPulsar malware, ma poi ha deciso di non includere l’effettiva backdoor nel pacchetto di perdita di strumenti.
Questi 50 infezioni potrebbe facilmente essere il lavoro di Equazione Gruppo di cyber-spionaggio operazioni o il lavoro del l’Ombra Intermediari stessi.
Un’analisi tecnica completa del DarkPulsar malware è disponibile in questo report di Kaspersky.
RELATIVI COPERTURA:
Zero-day nel popolare plugin per jQuery sfruttata per almeno tre anniNSA leaker Realtà Vincitore condannato a 5 anni di carcere CNETceca servizio di intelligence si spegne Hezbollah hacking operazione diNOI elettori record da 19 stati venduti su hacking forumBotnet utilizza WannaCry sfruttare al mio cryptocurrency sul server di TechRepublicPentagono rivela la carta di violazioneArresto di top Cinese ufficiale dell’intelligence scintille timori di nuovi hacker Cinese sforzi
Equifax ingegnere che ha progettato la violazione portale ottiene 8 mesi di arresti domiciliari per insider trading
Argomenti Correlati:
Governo – NOI
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati
0