Итальянская ИБ-компания тайком создавала инструменты для киберпреступников
18/06/20
Легитимная с виду итальянская компания, как оказалось, активно сотрудничала с киберпреступниками, зарабатывая продажей им шифровальных средств.
Компания CloudEyE, итальянский разработчик программного обеспечения, чьим флагманским продуктом является GloudEyE Protector, программа для защиты приложений под Windows от обратной разработки (реверс-инженерии). Но кроме этого, по-видимому, CloudEyE предлагала некоторые из своих наработок киберпреступникам.
Это стало известно после того, как эксперты компании Check Point начали изучать новый вредонос под названием GuLoader, чрезвычайно активно распространяемый с начала 2020 г.
В коде GuLoader обнаружились упоминания CloudEyE Protector, и хотя само по себе это ничего не значит, дальнейшие расследования Check Point позволили позволили увязать рекламу CloudEyE Protector на сайте securitycode.eu с объявлениями 2011-2014 годов, рекламировавшими сервис шифрования для вредоносных программ DarkEyE, и идентифицировать личность автора тех объявлений - им оказался один из основателей CloudEyE.
По утверждению Check Point, эти люди были глубоко вовлечены в киберкриминал и, вероятнее всего, заработали на преступной деятельности не менее $500 тыс. CloudEyE Protector по сути представляет собой обновлённую версию DarkEyE.
Дело о главном клиенте
«Операции CloudEyE могут выглядеть вполне законными, однако услуги, которые эта компания предлагает, были общим знаменателем тысяч атак на протяжении прошлого года», - утверждают эксперты Check Point, добавляя, что главным клиентом был GuLoader.
Мало того, в перехваченных сэмплах GuLoader, обнаруживаются характерные фрагменты, настолько уже типичные для CloudEyE, что теперь любое, даже самое легитимное приложение, которое снабдили такой защитой, будет, скорее всего, распознаваться антивирусами как GuLoader.
Некоторые функции CloudEye, в свою очередь, сделаны так, как будто их специально разрабатывали для поддержки GuLoader. На сайте CloudEyE приводились уроки, как загружать потенциально вредоносное содержимое в Google Drive и OneDrive. Эти облачные ресурсы снабжен сканерами против вредоносного ПО, не позволяющими загружать вредоносы. Однако CloudEyE позволяет маскировать любое вредоносное ПО, так что оно проходит все проверки. Для легитимного ПО эта функция не имеет никакого смысла.
После публикации Check Point представители CloudEyE заявили, что информация в нём неверна, и что киберпреступники использовали функции CloudEyE Protector без ведома и согласия разработчиков. Желающих поверить в эту версию оказалось немного; со стороны экспертов по кибербезопасности раздались призывы к правоохранительным органам провести проверку деятельность CloudEyE. В итоге её владельцы объявили о сворачивании деятельности.
«Доводы Check Point о криминальной подноготной CloudEyE выглядят вполне убедительно, да и не принято в сфере кибербезопасности бросаться пустыми обвинениями, - считает Анастасия Мельникова, эксперт по информационной безопасности компании SEC Consult Services. - Что же касается «сворачивания деятельности», то это явно - лишь для отвода глаз. В ближайшем будущем этот «бизнес» в той или иной форме всплывёт снова».