doctorweb Apr 2 2021 at 14:10

Исследование целевых атак на российские НИИ

8 min

6.1K

Доктор Веб corporate blogInformation Security*Antivirus protection*Reverse engineering*

+10

Comments 10

mkovalevskyi Apr 2 2021 at 14:14

4 года хакеры пытались найти информацию в дебрях нии…

msuhanov Apr 2 2021 at 14:34

включая ранее не встречавшийся DNS-бэкдор BackDoor.DNSep.1

Вроде бы он уже описан другой компанией.

fetch Apr 5 2021 at 11:07

Ссылку укажите, где можно почитать.

msuhanov Apr 5 2021 at 12:17

Тут.

fetch Apr 5 2021 at 12:36

Разница во времени публикаций — 2 часа. Так что я бы не сказал, что фраза «ранее не встречавшийся» тут не уместна.

czz Apr 2 2021 at 15:58

Есть ли предположения о том, с какой целью были внедрены бэкдоры?

qw1 Apr 2 2021 at 21:59

Предполагаю, что хакеры заражали все организации, до которых могли дотянуться, чтобы нарастить бот-сеть и поставить прокси-серверы для дальнейших атак. А НИИ благодатная почва: все компьютеры, как правило, торчат наружу в инет с белым IP-адресом (т.к. организациям выделяют большие блоки адресов), квалифицированных администраторов нет, свои машины админят научные сотрудники, которым инфобез не нужен по работе.

mkovalevskyi Apr 2 2021 at 22:11

И судя по «Сотрудники НИИ обратили внимание на ряд технических проблем» — ее включили в работу.
Но этот пункт для товарисчей видимо не особо интересен ;)

pavel_pimenov Apr 2 2021 at 18:09

А вызов FindClose (INVALID_HANDLE_VALUE) для чего делается?

qw1 Apr 2 2021 at 21:54

Вероятно, в исходнике ошибочно было
FindClose(hFile);
что компилятор соптимизировал внутри блока
if (hFile == INVALID_HANDLE_VALUE)
а здесь уже результат декомпиляции.