Существует утилита для тестирования компьютера на наличие программ-шпионов NSA

Существует утилита для тестирования компьютера на наличие программ-шпионов NSA

Скрипт, который обнаруживает встроенный код, показал, что около 100 000 систем по всему миру могут оказаться инфицированными

Был ли ваш компьютер заражен подозрительным шпионским имплантатом Национального Агентства Безопасности? Исследователь безопасности придумал бесплатную утилиту, которая поможет определить это.

Люк Дженнингс из компании Countercept написал скрипт в ответ на громкую утечку кибервооружений , которые, по мнению некоторых исследователей, принадлежат Агентству национальной безопасности США. Утилита предназначена для обнаружения имплантата под названием Doublepulsar, который поставляется со множеством эксплойтов для системы Windows, и может использоваться для загрузки других вредоносных программ.

Скрипт, который требует навыков программирования, доступен для загрузки на GitHub .

Некоторые исследователи в сфере безопасности использовали скрипт Дженнингса для сканирования интернета на предмет обнаружения машин, зараженных имплантатом. Полученные результаты были довольно разнообразными и варьировали от 30000 до 100000 компьютеров с загруженным кодом.

Компания Below0Day, занимающаяся тестированием на предмет проникновения, опубликовала твиты с изображениями , отображающими, какие страны были затронуты больше всего. США лидирует, насчитывая 11000 зараженных машин.

Несколько других стран, включая Великобританию, Тайвань и Германию, имеют более 1500 зараженных компьютеров.

Неясно, когда эти компьютеры были заражены, сказал Дженнингс. Тем не менее, подозрительные эксплойты NSA, которые распространяют Doublepulsar, были похищены неделю назад, и с этого момента любой человек с некоторыми навыками взлома мог начать их использовать.

Эксперты по безопасности обеспокоены тем, что киберпреступники или иностранные правительства могут воспользоваться похищенными эксплойтами и атаковать уязвимые компьютеры через Интернет. Они утверждают, что компьютеры с более старыми или не обновленными системами Windows подвергаются особому риску. Перезагрузка системы приведет к удалению имплантата, но не обязательно к удалению связанного с ним вредоносного ПО.

Дженнингс сказал, что он разработал свой скрипт, проанализировав , как имплантат Doublepulsar обменивался информацией через Интернет со своим сервером управления. Однако первоначальное намерение разработчика состояло в том, чтобы помочь компаниям идентифицировать имплантат в своих сетях, а вовсе не сканировать весь интернет в его поисках.

«В Twitter ведется много дискуссий, — сказал он. «Люди задаются вопросом о том, может ли скрипт оказаться неточным, поскольку количество зараженных систем поражает».

«Тем не менее, никто не представил доказательств того, что скрипт является неправильным», — сказал Дженнингс.

«Вероятно, существует определенная группа или даже несколько, использующие похищенные эксплойты для компрометации уязвимых машин», — сказал он.

Старые системы Windows Server, особенно работающие без брандмауэра, легко взломать с помощью эксплойтов. Похоже, что тысячи таких машин по всему Интернету были скомпрометированы .

Дэн Тентлер (Dan Tentler), генеральный директор компании Phobos Group, работающей в сфере обеспечения безопасности, изучает точность скрипта. Он уже проверил вручную 50 машин, которые были помечены как зараженные, и все 50 из них действительно оказались зараженными.

«Обычно, если скрипт неточен, и вы проверяете такое количество компьютеров, то ожидается обнаружить хотя бы несколько погрешностей», — сказал он. «Но я их не обнаружил».

Исследователям в сфере безопасности потребуется больше времени, чтобы проверить точность результатов обнаружения Doublepulsar. Но Тентлер рекомендует системным операторам принять меры для предотвращения заражения недавно похищенными вредоносными программами.

Он говорит, что пользователям следует установить все доступные патчи для своей системы Windows. Предыдущие исправления от Microsoft помогут устранить опасность, но старые операционные системы, такие как Windows XP и Windows Server 2003, больше не получают поддержки от компании.

Пользователи могут рассмотреть возможность обновления системы до новой ОС. Они также могут использовать антивирусные продукты, такие как Защитник Windows, чтобы помочь искоренить вредоносное ПО.


Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Ищем баги вместе! Но не те, что в продакшене...

Разбираем кейсы, делимся опытом, учимся на чужих ошибках

Зафиксируйте уязвимость своих знаний — подпишитесь!

Евгений Царев

Персональные данные, Информационная безопасность и ИТ-инновации