Новое исследование поставило под сомнение все, что было известно о Furtim, новом зловреде, который, как считалось, атакует системы управления энергетическими объектами. Согласно Damballa, даунлоудер Furtim и недавно обнаруженный дроппер SFG — разные сборки одной программы, не имеющей специального кода для атак на АСУ ТП.

Проведенный в компании анализ подтвердил, что Furtim и SFG не просто похожи, но близкие родственники. «Различны лишь HTTP-заголовки, — уточнил для Threatpost старший вирусный аналитик Damballa Дон Джексон (Don Jackson). — Эти заголовки просто имеют разные значения и выбираются зловредом случайно, поэтому в Сети разные сборки одной и той же вредоносной программы выглядят неодинаково».

Более тщательное исследование Furtim/SFG показало, что он не ориентирован на энергетические объекты, как было доложено ранее, но старается заразить любую сеть, чтобы выкрасть учетные данные пользователей. «Распространяется данный зловред разными способами, в том числе через drive-by-загрузки, вредоносную рекламу и спам, — рассказывает Джексон. — Он в высшей степени всеяден и не имеет пристрастий к отдельным отраслям. Он просто заражает Windows-машины, на которые может проникнуть».

Видимо, всех ввело в заблуждение первое сообщение SentinelOne об SFG: исследователи на тот момент предположили, что проанализированный сэмпл нацелен на европейскую электроэнергетическую компанию. Через пару дней SentinelOne обновила свою блог-запись: «Наша публикация, в которой было высказано предположение, что мишенью данного зловреда являются энергетические SCADA-системы, породила множество неверных толкований. Мы хотим подчеркнуть: свидетельств того, что это действительно так, у нас нет. Предметом нашего анализа являлись вредоносные характеристики программы, а не авторство или спектр мишеней».

Основными задачами Furtim/SFG являются сокрытие от обнаружения, исполнение эксплойтов для Windows-уязвимостей CVE-2014-4113 и CVE-2015-1701, а также обход UAC, ограничивающего права пользователей Windows. «Количество и виды тактик говорят о высоком техническом уровне данного зловреда, — признал Джексон. — Он использует все известные мне приемы, чтобы избежать обнаружения и анализа. Хотя это вредоносное ПО не тянет на спонсируемый государством проект, оно очень хорошо продумано».

Напомним, Furtim был обнаружен исследователями из enSilo, отчет о нем был опубликован в минувшем мае. По данным Damballa, новоявленный Furtim/SFG использует известную fast-flux-инфраструктуру Dark Cloud — ботнет, доступ к которому предоставляется как услуга. Многочисленные узлы Dark Cloud работают как прокси, и из-за постоянно меняющихся адресов вычислить их и заблокировать очень трудно.

Категории: Аналитика, Вредоносные программы