11/09/19
Исследователи безопасности из фирмы ESET обнаружили новое вредоносное ПО, которое использует службу фоновой интеллектуальной передачи данных Windows Background Intelligent Transfer Service (BITS) для кражи данных. По словам специалистов, вредонос может быть делом рук киберпреступной группировки Stealth Falcon.
Группировка Stealth Falcon, специализирующаяся на кибершпионаже, действует с 2012 года и нацелена на политических активистов и журналистов на Ближнем Востоке. В 2016 году некоммерческая организация Citizen Lab, занимающаяся вопросами безопасности и прав человека, опубликовала отчет о деятельности кибергруппировки. В январе 2019 года информагентство Reuters опубликовало отчет о расследовании в отношении подразделение под названием Project Raven, состоящего из сотрудников спецслужб ОАЭ и бывших агентов разведки США, у которого были схожие цели с Stealth Falcon.
В предыдущих атаках группировка Stealth Falcon использовала бэкдор, написанный на языке PowerShell, однако затем переключилась на новый инструмент, получивший название Win32/StealthFalcon (по классификации ESET). Вредоносная программа использует систему Windows BITS для связи и взаимодействия с C&C-сервером. Бэкдор позволяет преступникам загружать и запускать дополнительный код на зараженных системах, извлекать данные и отправлять на подконтрольные злоумышленникам удаленные серверы.
Для связи с удаленным сервером бэкдор использует не классические HTTP- или HTTPS-запросы, а трафик BITS. По мнению специалистов, таким образом злоумышленники обходят межсетевые экраны, поскольку, как правило, защитные средства не запрещают трафик BITS.
Background Intelligent Transfer Service (BITS) — служба фоновой интеллектуальной передачи файлов между клиентом и HTTP-сервером, которая задейстувует неиспользуемую часть пропускной способности сети. С помощью предустановленной службы BITS Microsoft отправляет обновления Windows пользователям по всему миру.
