Вы используете устаревший браузер!

Страница может отображаться некорректно.

Бесплатно демо
Dr.Web для Android
Скачать

Защити созданное

Другие наши ресурсы

  • free.drweb.ru — бесплатные утилиты, плагины, информеры
  • av-desk.com — интернет-сервис для поставщиков услуг Dr.Web AV-Desk
  • curenet.drweb.ru — сетевая лечащая утилита Dr.Web CureNet!
Закрыть

Библиотека
Моя библиотека

+ Добавить в библиотеку

Поддержка
Круглосуточная поддержка

Позвоните

Бесплатно по России:
8-800-333-79-32

Форум
Профиль

Назад к списку новостей

«Доктор Веб» предупреждает: Trojan.Dyre по-прежнему опасен!

8 февраля 2016 года

Спустя чуть более двух месяцев после масштабной операции российских правоохранительных органов по пресечению деятельности преступной группировки, стоявшей за получившим в 2015 году печальную известность троянцем Trojan.Dyre, о нем опять заговорили СМИ. На этот раз речь идет чуть ли не о победе над этой вредоносной программой, терроризировавшей крупнейшие финансовые организации всего мира с лета 2014 года. Однако сами правоохранительные органы пока не спешат сообщить об успехах в борьбе с очередным творением киберпреступного мира.

Специалисты компании «Доктор Веб» на протяжении всего времени существования троянской программы Trojan.Dyre пристально следили за ее распространением, изучали инфраструктуру, которая была создана злоумышленниками. Прежде всего следует отметить, что в данном случае мы увидели «классический» пример реализации модели CaaS — crime-as-a-service (преступление как услуга). «Пользователи системы» получали билдер для генерации сэмплов троянца, который позволял часто менять его сигнатуру, делая его таким образом неуязвимым для антивирусных программ. При этом все данные, которые собирались троянцем на зараженных компьютерах, отправлялись на серверы владельцев Trojan.Dyre. Там они обрабатывались и заводились в административную панель, которая была доступна тем «пользователям», которые купили к ней доступ. Сама панель была разделена на несколько функциональных частей — управление ботами, поиск по логам. Кроме того, самих групп панелей было несколько. Все входящие данные анализировались фильтрами для получения интересующей мошенников информации (логины-пароли и т. д.).

Большой интерес представляет сама инфраструктура Trojan.Dyre, которая, как считают аналитики «Доктор Веб», является намного более сложной, чем инфраструктуры многих других нашумевших банковских троянцев. Обычно данные с зараженных компьютеров отсылаются троянцами на сервер, где и развернута панель, с помощью которой злоумышленники управляют своими ботами. В случае же с Trojan.Dyre использовался целый набор различных технологий, который свидетельствовал о том, что разработавшая и воплотившая в жизнь этот проект преступная группа располагает довольно внушительными финансовыми и человеческими ресурсами. Так, приемом и обработкой данных от ботов занимались «самописные» серверы на .Net, а панели управления ботнетом были написаны с использованием php-фреймворка Kohana. Для хранения и обработки массивов данных, поступавших практически со всех концов света, использовались базы postgres и mysql, а также система полнотекстового поиска sphinx. Все входящие данные поступали на специальные фильтры, которые служили для выделения интересующей мошенников информации (логины, пароли, номера банковских счетов, персональные данные пользователей и т. д.). Для защиты серверов от обнаружения были использованы Tor-серверы, а также proxy-серверы, объединенные в сеть посредством openvpn. Отличительной чертой атаки с использованием троянца Trojan.Dyre было размещение первичных проксирующих «прокладок» на взломанных злоумышленниками роутерах, где соответствующим образом была изменена таблица маршрутизации. Взломы роутеров производились рутинным подбором паролей, с учетом того факта, что многие пользователи не заботятся о смене заводских настроек защиты роутеров, а некоторые вообще не рассматривают их как точку возможного проникновения во внутреннюю сеть.

Тем не менее, аналитики «Доктор Веб» смогли определить целый ряд конечных серверов, которые использовались злоумышленниками. Были вскрыты элементы инфраструктуры Trojan.Dyre, удалось реализовать синкхол некоторых серверов. Это позволило получать важную информацию, которую специалисты компании оперативно предоставляли ряду европейских банков, а также правоохранительным органам нескольких стран.

Несмотря на опубликованную в СМИ информацию, в «Доктор Веб» считают, что по поводу Trojan.Dyre еще не пришло время расслабляться. До сих пор аналитиками компании фиксируются спам-рассылки с сэмплами троянца, и имеются основания полагать, что не все серверы инфраструктуры прекратили свою работу. Скорее всего, в этой истории «продолжение следует».

Нам важно Ваше мнение

Комментарии размещаются после проверки модератором. За каждый комментарий начисляется 1 Dr.Web-ка. Чтобы задать вопрос по новости администрации сайта, укажите в начале своего комментария @admin. Если ваш вопрос к автору одного из комментариев — поставьте перед его именем @


Другие комментарии

Российский разработчик антивирусов Dr.Web

Опыт разработки с 1992 года

Dr.Web пользуются в 200+ странах мира

Dr.Web в Реестре Отечественного ПО

Поставка антивируса как услуги с 2007 года

Круглосуточная поддержка на русском языке

© «Доктор Веб»
2003 — 2017

«Доктор Веб» — российский производитель антивирусных средств защиты информации под маркой Dr.Web. Продукты Dr.Web разрабатываются с 1992 года.

125040, Россия, Москва, 3-я улица Ямского поля, вл.2, корп.12А