Разработчики: | Aisino |
Отрасли: | Финансовые услуги, инвестиции и аудит |
2020: Распространение ПО со шпионскими закладками
В начале июля 2020 года стало известно, что некий китайский банк, название которого не раскрывается, обязал компании устанавливать официальное налоговое ПО с шпионскими закладками.
Специалисты компании Trustwave обнаружили, что этот банк обязал по меньшей мере две западные компании установить ПО с бэкдор GoldenSpy. К Trustwave обратился один из пострадавших клиентов банка, недавно открывший офис в Китае. Он сообщил, что банк вынудил компанию установить ПО Intelligent Tax, разработанное компанией Aisino специально для уплаты местных налогов.
ПО действительно выполняло заявленную функцию, однако кроме того установило в системы компании-клиента скрытый бэкдор GoldenSpy. Специалисты Trustwave обнаружили его по подозрительным сетевым запросам, исходящим из сети клиента. GoldenSpy обладает правами уровня SYSTEM, позволяя хакерам подключаться к зараженной системе, загружать и устанавливать другое ПО. После выполнения этих задач Aisino Intelligent Tax запускает загруженный деинсталлятор, и тот удаляет все файлы и папки GoldenSpy, а также записи, которые она вставила в базу данных конфигурации системы Windows.
Хотя многие программы используют функции удаленного доступа для отладки ПО, эксперты Trustwave уверены, что в данном случае дело обстоит гораздо мрачнее. Бэкдор прописывает две идентичные копии самого себя в автозапуск, и если одна из копий перестает работать, двойник тут же ее восстанавливает. При этом вредоносное ПО тщательно отслеживает статус клонов, вовремя загружая новую копию. Стоит также отметить, что первоначальная загрузка GoldenSpy происходит только через два часа после установки основного ПО, без сопутствующих уведомлений.
Эксперты по кибербезопасности призывают все компании, работающие в Китае и имеющие дело с Intelligent Tax, принять необходимые меры по защите своих систем от потенциально вредоносного ПО.[1]