Сервер IT-подрядчика ФСО оказался заражен вирусом для майнинга

Без гаранта не работать
Bablbaddi

Bablbaddi

Местный
Регистрация
15/12/17
Сообщения
236
Репутация
210
Реакции
496
RUB
0
Сервер компании «Код безопасности», которая специализируется на разработке софта для защиты информации, оказался заражен вирусами для майнинга криптовалют, рассказал источник в правоохранительных органах и подтвердили антивирусный эксперт «Лаборатории Касперского» Денис Легезо и эксперт по информационной безопасности Cisco Алексей Лукацкий.

На официальном ftp-сервере «Кода безопасности», где хранятся продукты компании и обновления к ним, как минимум 25 и 26 февраля действительно появились многочисленные файлы под названием Photo.scr. Проверка этих файлов через онлайн-сканер «Доктора Веба» показывает, что они заражены вредоносным софтом Trojan.Btcmine.1214, который предназначен для майнинга криптовалют. «Мы детектируем их как Trojan.Win32.Miner, — отмечает Денис Легезо. — Распространение через открытые ftp-сайты — это один из методов доставки этого вредоноса жертвам. Второй метод — инфицированные дистрибутивы (установочный файл с программой) на сайтах с бесплатным ПО. Функциональность у этой заразы простая — автоматически запуститься, когда пользователь входит в систему, и начать потреблять ресурсы чужого процессора для добычи криптовалюты».

«Самый логичный сценарий распространения вируса — случайное занесение майнера на открытый для всех сервер в надежде на то, что клиенты, скачивающие ПО, вместе с файлом сами установят майнера к себе в сеть», — поясняет Алексей Лукацкий. По его словам, владельцы вируса-майнера могут даже не знать, кого они заразили. «Если же они знают, то рассчитывают, что клиенты изначально доверяют компании по информационной безопасности и даже не будут проверять файлы, скачиваемые с доверенного ftp-сервера», — говорит Лукацкий.

В самой компании утверждают, что специально разместили на сервере вредоносные файлы. «На нашем ftp-сервере в разделе «Демоверсии» размещаются различные образцы зловредных файлов для проверки функциональности наших программных и программно-аппаратных продуктов. Ftp-сервер, содержащий подобные файлы, находится в изолированном от основной инфраструктуры сегменте. Подобная практика применяется практически всеми производителями средств защиты информации. Такова специфика нашей работы: поскольку мы занимаемся информационной безопасностью, заказчики просят временно размещать образцы зловредного ПО для проверки функциональных возможностей и качества работы наших продуктов», — передал через пресс-службу директор по информационным технологиям «Кода безопасности» Илья Евсеев.

Но вредоносные файлы были размещены не только в разделе с демоверсиями продуктов, убедился корреспондент РБК, а после обращения РБК за комментарием весь раздел с продуктами компании на ftp-сервере перестал открываться. Причину появления вредоносных файлов не только в разделе с демоверсиями представитель компании объяснил ошибкой, связанной с человеческим фактором. «Видимо, имела место ошибка, связанная с человеческим фактором: специалист мог поторопиться и положить файлы не в ту папку», — пояснил он, добавив, что «Код безопасности» проводит проверку сервера.
 
Назад
Сверху Снизу