Продолжение истории с кибершпионажем за аптеками

    На фоне всех этих эпидемий шифровальщиков как-то теряется работа — опасна и трудна — тех бэкдоров, которые работают по-тихому, и на первый взгляд как будто не видны. А зря! Ведь апдейты обычно делают только тогда, когда «дом уже горит» — хотя казалось бы, если вовремя найти у себя бэкдор и закрыть его, а не продолжать делать вид, что всё в порядке, ситуаций вроде этой можно избегать.

    Ну да чего уж там. В истории с аптечными кибератаками есть продолжение.

    Компания «Доктор Веб» отвечает на обвинения компании «Спарго Технологии» и поясняет выявленные факты промышленного шпионажа за российскими аптеками.

    После того как компания «Доктор Веб» опубликовала результаты расследования целенаправленной атаки на множество сетей российских аптек и фармацевтические компании с использованием вредоносной программы семейства BackDoor.Dande, на официальном сайте акционерного общества «Спарго Технологии» было размещено сообщение, утверждающее, что «компания DrWeb», нарушая нормы деловой этики, распространяет заведомо ложную и недостоверную информацию о содержании вирусных файлов в программе «ePrica». «Доктор Веб» вступается за тезку и помогает компании «Спарго Технологии» разобраться в ситуации.

    Необходимо отметить, во-первых, что компания «Спарго Технологии» перед публикацией своего обращения за дополнительной информацией в компанию «Доктор Веб» не обращалась и сочла возможным обвинить нас, при этом намеренно исказив суть опубликованной нами информации.

    Во-вторых, на момент, когда компания «Доктор Веб» в 2012 году начала свое расследование, заражению подверглись более 2800 аптек и российских фармацевтических компаний (по данным Службы вирусного мониторинга нашей компании). К слову сказать, жалобы от наших клиентов и стали причиной начала расследования. На данный же момент обнаруженный специалистами компании «Доктор Веб» шпионский модуль BackDoor.Dande.61 определяет как вредоносное программное обеспечение 41 производитель антивирусных программ из 63, представленных на ресурсе Virustotal.

    В-третьих, важно отметить, что в программе ePrica вредоносных файлов не содержалось, соответственно, компания «Доктор Веб» и не могла об этом ничего писать. ePrica — это приложение, разработанное компанией «Спарго Технологии», которое позволяет руководителям аптек проанализировать расценки на медикаменты и выбрать оптимального поставщика. Используемая этой программой динамическая библиотека PriceCompareLoader.dll имеет экспортируемые функции, выполняющие запуск библиотек в памяти. PriceCompareLoader.dll вызывается из PriceComparePm.dll. Эта библиотека пытается скачать с сайта полезную нагрузку, расшифровать ее с помощью алгоритма AES и запустить из памяти. Троянец загружался с сайта ws.eprica.ru, принадлежащего компании «Спарго Технологии» и предназначенного для обновления программы ePrica. При этом модуль, скрытно загружавший вредоносную программу сразу в память компьютера, имел действительную цифровую подпись «Спарго», и именно такая схема скрытной загрузки вредоносной программы и привела к необходимости столь длительного расследования с целью определения источника заражения. Похищенную с зараженных компьютеров коммерческую информацию троянец выгружал на серверы за пределами России. Иными словами, как и в ситуации с Trojan.Encoder.12544, распространявшимся через ПО M.E.Doc, бэкдор был скрыт в модуле обновления программы.

    В-четвертых, заявления «Спарго Технологии» о чистоте и безопасности выпускаемых решений в связи с внесением программы ePrica в Единый реестр российских программ являются безосновательными, так как этот реестр никак не связан с вопросами безопасности программных продуктов. Комментирует Евгения Василенко, исполнительный директор АРПП «Отечественный софт», член Экспертного совета по развитию отрасли информационных технологий, эксперт Временной комиссии Совета Федерации по развитию информационного общества:
    «При рассмотрении заявлений в реестр российских программ для ЭВМ и баз данных, исходный код программного обеспечения не запрашивается. Заявитель вправе предоставить исходные коды. Но в любом случае, дистрибутив программного обеспечения проверяется экспертами на соответствие критериям российского программного обеспечения, утвержденным законодательством. В первую очередь экспертный совет осуществляет проверку дистрибутива на соответствие заявленным классам программного обеспечения, а также на отсутствие компонентов сторонних разработчиков, на которые у заявителя нет исключительных прав.

    Реестр является подтверждением страны происхождения программного обеспечения. По вопросам безопасности программных продуктов существуют другие процедуры сертификации и лицензирования».

    Таким образом, информация, распространяемая компанией «Спарго Технологии» относительно гарантированной безопасности программного обеспечения «Спарго Технологии» только на основании включения его в Единый реестр отечественного ПО, может ввести в заблуждение и дезинформировать клиентов данной компании.

    … и это ещё наверняка не конец.
    Доктор Веб 52,42
    Компания
    Поделиться публикацией
    Ой, у вас баннер убежал!

    Ну. И что?
    Реклама
    Комментарии 33
    • 0
      Похищенную с зараженных компьютеров коммерческую информацию троянец выгружал на серверы за пределами России.
      Серьезное обвинение. Какая информация отправлялась на внешние сервера? Такие атаки возможно заметить обычной компании или это может заметить технологическая компания?
      • +4
        Какая информация отправлялась на внешние сервера?


        Информация о закупках медикаментов из специализированных программ, которые используются в фармацевтической индустрии.

        Такие атаки возможно заметить обычной компании или это может заметить технологическая компания?


        В принципе, поймать утечку данных можно без особых проблем, да и даже сам шпион ловился без проблем антивирусом (по крайней мере, у нас, за других говорить не могу). А вот найти бэкдор, через который шпион залезал каждый раз — вот это уже было проблемой, на которую ушло 4 года расследований.
        • 0
          Ни разу не обвинение. Аренда удобного сервера в иной стране в целях затруднения расследования
          Заметить атаку сложно, так как это аптеки (вариант — магазины/...) — два-три человека в штате, айтишник по вызову. Нужно строить по сути SIEM на уровне материнской компании, если она есть
        • 0
          (промахнулся)
          • НЛО прилетело и опубликовало эту надпись здесь
            • 0
              Интересная история. Но могу сказать что расследовать это одно, а по факту отлавливать вирус это другое. В нашей компании стоял ваш антивирус, не уточнял у сисадмина, но какая-то корпоративная версия. Так вот по факту это нас никак не защитило, антивирус только констатировал факт что кто-то пытается вмешаться в работу винды. Что я этим хотел сказать, лучше вы свои силы потратили на свою программу недели на написание этой статьи. p.s. первая часть истории была лучше.
              • +1

                Во-первых, обычно статьи и программы пишутся разными людьми. А во-вторых, любой популярный антивирус никогда не будет отлавливать свежие вирусы, сколько его не дописывай. Пора уже осознать, что антивирусы защищают от старых угроз, а не от новых.

                • 0
                  Я и не утверждал что это делает один человек, а просто изложил свою мысль. Как не печально констатировать факт но Microsoft Security Essentials — бесплатный, и он ловил вирус, а купленный доктор веб не смог. Просто немного раздражает когда фирмы пытаются пропиариться на сложившийся ситуации. Посмотрите как часто они публиковали статьи до появления этого вируса, и как после.
                  • 0
                    Анекдотические свидетельства не являются доказательством. Вы о каком, собственно, вирусы говорите? Впрочем, это немного не место для данной статьи, где, вообще-то, о конкретной кибератаке на аптеки говорится. А обсудить работу на винде и с каким-то конкретным трояном приглашаю на профильный ресурс: https://forum.drweb.com/index.php?showforum=46
                    • 0
                      Я надеюсь что вы понимаете что я не могу разглашать вам внутреннюю «кухню» компании где я сейчас работаю. А говорю я про сейчас всем известного «Петю». Извините если чем обидел, так как накипело после поднятия с нуля больше 150 рабочих мест.
                      • 0
                        Тогда, надеюсь, вы это с техподдержкой обсудили, там всё приватно. Ну вы же сами понимаете, что я вообще ничего сейчас не знаю о вашей конкретной ситуации, что вы за компания, как там было что, поэтому ничего прокомментировать не могу. Да и тема не о том.
                        • 0
                          если у Вас произошла проблема с «Петей» после такого количества предупреждений — грошь Вам цена как специалисту!
                          • 0
                            Я работаю программистом и не отвечаю за безопасность сети, это не моя обязанность. И толку от тех сообщений не было, так как не могли определить в чем причина, а через полчасика после заражения все компы на фирме в один момент времени начали выключаться. На решение проблемы было 30 минут, от первых сообщений до выключений. Не думаю что за такой период времени можно успеть решить проблему.
                    • 0
                      Ну, в целом, так, но не совсем так — превентивная защита хорошо работает против неизвестных шифровальщиков, например. Например, тот же воннакрай ловился превентивкой ещё до того, как его кто-то глазами посмотрел.
                      • 0
                        эвристиком антивирусных баз, то есть голым антивирусом. С петей сложнее — там ловился один компонент
                    • 0
                      См. выше — антивирус отлично ловил самого шпиона, расследование было на тему источника бэкдора, ловить это никак не мешало.
                    • 0
                      Тенденция весьма пугающая, если будет взлом производителя инструментов для системного администрирования (бэкапы вируализация), то это будет гораздо серьезнее чем отчётность и аптеки.
                      Вариант с одновременным шифрованием всех виртуальных дисков на гипервизоре и резервных копий уже не кажется невероятным.
                      • 0
                        По этому я и вижу последнее время рекомендации все хранить в базах данных, использовать версионирование данных и выносить базы данных на отдельную защищенную машину, куда никто не имеет доступа. Да тормознее во многих случаях, но почти гарантированная надежность от случайного заражения
                        • 0
                          Гм, ну давайте представим средненький банк, 20 файлсерверов, сто миллионов файлов, миллион папок с разграничением прав на базе NTFS/AD. Как их хранить в базах данных?
                          • 0
                            С другой стороны. Банк. Средний региональный. Зашифрован сервер с АБС.

                            Тут проблема в том, что админы даже крупнейших компаний не могут обеспечить защиту от вредоносных файлов (и кстати я не говорю, что антивирус обязан быть, я знаю, что есть методы защиты и без него и в дополнение к нему). Вариантов два гипноизлучатели на орбиту обучить всех правильной методике организации защиты и контроля защищенности (да хоть менять пароли на не менее стойкие раз в три месяца и обновлять систему периодически) — или внедрить избыточно дорогое решение, не трогающее любимые болячки.
                            Как вы думаете — какой вариант реальнее в реальности?

                            • 0
                              Да нет, что вы, я не против. Просто как это технически выполнить — перенести файлопомойку в СУБД?
                              • 0
                                И я также с вами согласен. Но я за свою жизнь и не такие извращения видел, когда вместо правильных решений городятся костыли по причине современные архитектуры, правильный методологический подход, европейские стандарты качества и тд — прикрывающей тупое не знание как оно все работает внутрях

                                Вот стопудово ничего не изменится после последней эпидемии кроме временного всплеска закупки антивирусов
                                • 0
                                  Был антивирус и не помог. Нам руководство поставило задачу по внедрению системы полного бекапирования рабочих станций и серверов, а также выработать новые подходы к безопасности сети. Но тоже с вами соглашусь что это будет временный скачок и через пару месяцев все прекратиться.
                      • 0

                        doctorweb — можете ли проверить подозрительную деятельность игры Blade Symphony?
                        Многие антивирусы её детектируют как троян, но их техподдержка в ответ советует… отключить все антивирусы.
                        (готов для этой цели подарить вам официальную копию игры со Стим)

                        • +1
                          Если вам поддержка советует отключить антивирусы чтобы поиграть в игру — бегите от такой игры с такой поддержкой, и не важно что скажет doctorweb. Такие разработчики игр не заслуживают внимания…
                        • 0
                          Caravus, конечно, в принципе прав, но посмотреть мы, конечно, можем. Дарить ничего не нужно :) Просто зашлите то, что детектируется, через https://vms.drweb.ru/sendvirus/
                          • 0

                            Выслал.


                            Дарить ничего не нужно :)

                            А как вы не имея копии игры сможете проверить, что это файл делает?

                            • 0
                              Да как всегда. Если детектируется именно конкретный файл, значит, что-то вредоносное (или потенциально вредоносное) есть именно в нём, и ковырять надо его.
                        • 0
                          Мне, как системному администратору аптечной сети очень интересная данная тема. Уже более 5 лет работаем с ПО Эприка, используем антивирусы НОД и Касперский, ничего подозрительного и тем более опасностей, связанных с эприкой за это время не имели. Специально на днях еще раз всё пересканировал, проверил все резервные копии за последние 4 года — ничего…
                          doctorweb вы пишете «Похищенную с зараженных компьютеров коммерческую информацию...», т.е. вами было проанализировано множество случаев такого заражения где источником были библиотеки Эприки?
                          Как объяснить факт, что наша сеть не заразилась? Получаем обновления стандартными средствами эприки, с сайта ws.eprica.ru
                          Библиотека PriceCompareLoader.dll с хэшем SHA-1 B3915AA38551A5B5270B23E372AE1241161EC598 указанная в вашем сообщении о BackDoor.Dande.61 на данный момент в используемой версии эприка присутствует.
                          • 0
                            А вы уверены, что не заразились? CureIT! для корпоративных компьютеров является пиратством и бла бла бла, но мы же на хабре :) Попробуйте кьюритом пройтись.
                            А случаев было много, да. Тысячи. Понятное дело, конкретные аптеки разглашать не можем.
                            • 0
                              Уверен. Мне за это платят хорошие деньги. Если бы заразились, то точно бы знал, ну и не задавал бы тут вопросов…

                              Если честно, то им (куреит) тоже прошелся. Ничего. Также пробовал при запущенной эприке…

                              Возможно, если факт распространения вируса именно Спарго имеется, это была целенаправленная единичная
                              атака? Иначе как я думаю все бы клиенты позаражались и в итоге выйти на источник было бы просто.
                              Однако еще раз перечитав https://vms.drweb.ru/virus/?_is=1&i=15448691, увидел скриншот с цифровой подписью SPARGO, на котором ей подписана не такая старая версия эприки от января 2016 года. Т.е. Dr.WEB утверждает, что по крайней мере с 2012 до 2016 года Спарго продолжали заражать клиентов вирусами посредством эприки? Тогда для меня еще большей загадкой остается факт того, что за 3 года не произошло ни одного заражения наших компьютеров, на которых установлена эприка.
                              • 0
                                Уточнил у аналитика, вот что он посоветовал.

                                Поищите в реестре ключ DriverPackageIdPkg
                                должно быть что то типа «DriverPackageIdPkg»="\\??\\C:\\WINDOWS\\system32\\isaPnpPrt.inf_x86_neutral_1c30fe3e981e1595"
                                если найдется то была версия dande с драйвером

                          Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                          Самое читаемое