doctorweb 2 апр 2021 в 14:10

Исследование целевых атак на российские НИИ

8 мин

Блог компании Доктор ВебИнформационная безопасность*Антивирусная защита*Реверс-инжиниринг*

+10

Комментарии 10

mkovalevskyi 2 апр 2021 в 14:14

4 года хакеры пытались найти информацию в дебрях нии…

msuhanov 2 апр 2021 в 14:34

включая ранее не встречавшийся DNS-бэкдор BackDoor.DNSep.1

Вроде бы он уже описан другой компанией.

fetch 5 апр 2021 в 11:07

Ссылку укажите, где можно почитать.

msuhanov 5 апр 2021 в 12:17

Тут.

fetch 5 апр 2021 в 12:36

Разница во времени публикаций — 2 часа. Так что я бы не сказал, что фраза «ранее не встречавшийся» тут не уместна.

czz 2 апр 2021 в 15:58

Есть ли предположения о том, с какой целью были внедрены бэкдоры?

qw1 2 апр 2021 в 21:59

Предполагаю, что хакеры заражали все организации, до которых могли дотянуться, чтобы нарастить бот-сеть и поставить прокси-серверы для дальнейших атак. А НИИ благодатная почва: все компьютеры, как правило, торчат наружу в инет с белым IP-адресом (т.к. организациям выделяют большие блоки адресов), квалифицированных администраторов нет, свои машины админят научные сотрудники, которым инфобез не нужен по работе.

mkovalevskyi 2 апр 2021 в 22:11

И судя по «Сотрудники НИИ обратили внимание на ряд технических проблем» — ее включили в работу.
Но этот пункт для товарисчей видимо не особо интересен ;)

pavel_pimenov 2 апр 2021 в 18:09

А вызов FindClose (INVALID_HANDLE_VALUE) для чего делается?

qw1 2 апр 2021 в 21:54

Вероятно, в исходнике ошибочно было
FindClose(hFile);
что компилятор соптимизировал внутри блока
if (hFile == INVALID_HANDLE_VALUE)
а здесь уже результат декомпиляции.

Зарегистрируйтесь на Хабре, чтобы оставить комментарий