- Без гаранта не работать
Bablbaddi
Местный
Сервер компании «Код безопасности», которая специализируется на разработке софта для защиты информации, оказался заражен вирусами для майнинга криптовалют, рассказал
источник в правоохранительных органах и подтвердили антивирусный эксперт «Лаборатории Касперского» Денис Легезо и эксперт по информационной безопасности Cisco Алексей Лукацкий.
На официальном ftp-сервере «Кода безопасности», где хранятся продукты компании и обновления к ним, как минимум 25 и 26 февраля действительно появились многочисленные файлы под названием Photo.scr. Проверка этих файлов через онлайн-сканер «Доктора Веба» показывает, что они заражены вредоносным софтом Trojan.Btcmine.1214, который предназначен для майнинга криптовалют. «Мы детектируем их как Trojan.Win32.Miner, — отмечает Денис Легезо. — Распространение через открытые ftp-сайты — это один из методов доставки этого вредоноса жертвам. Второй метод — инфицированные дистрибутивы (установочный файл с программой) на сайтах с бесплатным ПО. Функциональность у этой заразы простая — автоматически запуститься, когда пользователь входит в систему, и начать потреблять ресурсы чужого процессора для добычи криптовалюты».
«Самый логичный сценарий распространения вируса — случайное занесение майнера на открытый для всех сервер в надежде на то, что клиенты, скачивающие ПО, вместе с файлом сами установят майнера к себе в сеть», — поясняет Алексей Лукацкий. По его словам, владельцы вируса-майнера могут даже не знать, кого они заразили. «Если же они знают, то рассчитывают, что клиенты изначально доверяют компании по информационной безопасности и даже не будут проверять файлы, скачиваемые с доверенного ftp-сервера», — говорит Лукацкий.
В самой компании утверждают, что специально разместили на сервере вредоносные файлы. «На нашем ftp-сервере в разделе «Демоверсии» размещаются различные образцы зловредных файлов для проверки функциональности наших программных и программно-аппаратных продуктов. Ftp-сервер, содержащий подобные файлы, находится в изолированном от основной инфраструктуры сегменте. Подобная практика применяется практически всеми производителями средств защиты информации. Такова специфика нашей работы: поскольку мы занимаемся информационной безопасностью, заказчики просят временно размещать образцы зловредного ПО для проверки функциональных возможностей и качества работы наших продуктов», — передал через пресс-службу директор по информационным технологиям «Кода безопасности» Илья Евсеев.
Но вредоносные файлы были размещены не только в разделе с демоверсиями продуктов, убедился корреспондент РБК, а после обращения РБК за комментарием весь раздел с продуктами компании на ftp-сервере перестал открываться. Причину появления вредоносных файлов не только в разделе с демоверсиями представитель компании объяснил ошибкой, связанной с человеческим фактором. «Видимо, имела место ошибка, связанная с человеческим фактором: специалист мог поторопиться и положить файлы не в ту папку», — пояснил он, добавив, что «Код безопасности» проводит проверку сервера.
На официальном ftp-сервере «Кода безопасности», где хранятся продукты компании и обновления к ним, как минимум 25 и 26 февраля действительно появились многочисленные файлы под названием Photo.scr. Проверка этих файлов через онлайн-сканер «Доктора Веба» показывает, что они заражены вредоносным софтом Trojan.Btcmine.1214, который предназначен для майнинга криптовалют. «Мы детектируем их как Trojan.Win32.Miner, — отмечает Денис Легезо. — Распространение через открытые ftp-сайты — это один из методов доставки этого вредоноса жертвам. Второй метод — инфицированные дистрибутивы (установочный файл с программой) на сайтах с бесплатным ПО. Функциональность у этой заразы простая — автоматически запуститься, когда пользователь входит в систему, и начать потреблять ресурсы чужого процессора для добычи криптовалюты».
«Самый логичный сценарий распространения вируса — случайное занесение майнера на открытый для всех сервер в надежде на то, что клиенты, скачивающие ПО, вместе с файлом сами установят майнера к себе в сеть», — поясняет Алексей Лукацкий. По его словам, владельцы вируса-майнера могут даже не знать, кого они заразили. «Если же они знают, то рассчитывают, что клиенты изначально доверяют компании по информационной безопасности и даже не будут проверять файлы, скачиваемые с доверенного ftp-сервера», — говорит Лукацкий.
В самой компании утверждают, что специально разместили на сервере вредоносные файлы. «На нашем ftp-сервере в разделе «Демоверсии» размещаются различные образцы зловредных файлов для проверки функциональности наших программных и программно-аппаратных продуктов. Ftp-сервер, содержащий подобные файлы, находится в изолированном от основной инфраструктуры сегменте. Подобная практика применяется практически всеми производителями средств защиты информации. Такова специфика нашей работы: поскольку мы занимаемся информационной безопасностью, заказчики просят временно размещать образцы зловредного ПО для проверки функциональных возможностей и качества работы наших продуктов», — передал через пресс-службу директор по информационным технологиям «Кода безопасности» Илья Евсеев.
Но вредоносные файлы были размещены не только в разделе с демоверсиями продуктов, убедился корреспондент РБК, а после обращения РБК за комментарием весь раздел с продуктами компании на ftp-сервере перестал открываться. Причину появления вредоносных файлов не только в разделе с демоверсиями представитель компании объяснил ошибкой, связанной с человеческим фактором. «Видимо, имела место ошибка, связанная с человеческим фактором: специалист мог поторопиться и положить файлы не в ту папку», — пояснил он, добавив, что «Код безопасности» проводит проверку сервера.
