Backdoor

Существует два вида предоставления shell-доступа: «BindShell» и «Back Connect»:

• «BindShell» — самый распространённый, работает по архитектуре «клиент-сервер», то есть бэкдор ожидает соединение.
• «Back Connect» — применяется для обхода брандмауэров, бэкдор сам пытается соединиться с компьютером хакера.

Известные бэкдоры заносятся в базы антивирусных систем. Хакеры высокого класса используют собственноручно написанные либо модифицированные бэкдоры и руткиты, что делает их обнаружение и удаление затруднительным.

2024: Миллионы роутеров D-Link с завода получили закладки, из-за которых можно удаленно захватывать устройства

В середине июня 2024 года стало известно о том, что в ряде моделей беспроводных маршрутизаторов D-Link присутствуют закладки, позволяющие злоумышленникам захватывать контроль над устройствами. Проблема потенциально может затрагивать миллионы роутеров. Подробнее здесь.

2023: В китайских телевизорах нашли вирусы, устанавливаемые на заводе

4 октября 2023 года фирма Human Security сообщила о выявлении масштабной киберпреступной кампании под названием Badbox, исходящей из Китая. Через интернет продаются различные устройства под управлением Android, в прошивке которых изначально содержится вредоносный код. В результате, пользователи, сами того не подозревая, могут быть вовлечены в деятельность ботнета.

Как показало расследование, зловред интегрирован в недорогие китайские ТВ-приставки, телевизоры и мобильные гаджеты. Вредоносный код основан на трояне Triada, который был обнаружен в 2016 году. Это модульный вирус, использующий права суперпользователя и другие механизмы для максимального сокрытия своего присутствия в системе. Троян модифицирует Android-процесс Zygote, который используется как своего рода основа для любого другого приложения: в результате, зловред становится частью каждой установленной на устройстве программы. Плюс к этому вирус умеет подменять системные функции и использует это для того, чтобы прятать свои модули в списке запущенных процессов и установленных приложений. Поэтому жертва вообще не замечает, что его устройство инфицировано.

Human Security сообщила о выявлении масштабной киберпреступной кампании под названием Badbox

Human Security сообщает, что после включения зараженного гаджета или ТВ и его соединения с сетью вредоносное ПО может использоваться для кражи личных данных, запуска скрытых ботов, хищения одноразовых паролей, а также для организации уникальных схем мошенничества. Кроме того, зловред соединяется с командным сервером и подгружает ряд дополнительных компонентов, одним из которых является рекламный инструмент Peachpit. Злоумышленники используют мошенничество с рекламой в качестве способа финансирования своей незаконной деятельности.

В исследовании Human Security говорится, что по всему миру в рамках кампании Badbox используются тысячи инфицированных устройств. Помимо рекламы, киберпреступники имеют множество других возможностей получения дохода. Причем во многих случаях ущерб обнаруживается только тогда, когда становится слишком поздно.^[1]

2022: Закладки в ПО и оборудовании в даркнете подорожали до $10 тыс.

22 февраля 2023 года корпорация IBM опубликовала отчёт с результатами анализа мировой отрасли информационной безопасности. Говорится, что закладки в программном обеспечении и оборудовании в даркнете подорожали до $10 тыс.

Специалисты зафиксировали снижение доли программ-вымогателей в общем объёме киберинцидентов на 4% в 2022 году по сравнению с 2021-м. Говорится, что защитные средства стали более эффективно противостоять зловредам данного типа. Согласно отчёту, внедрение бэкдоров, обеспечивающих удалённый доступ к системам, стало основной практикой злоумышленников в 2022 году. Причём около 67% этих случаев связаны с попытками распространения программ-вымогателей: защитные инструменты смогли идентифицировать бэкдор до того, как шифровальщик проник в ИТ-инфраструктуру.

Цена бэкдора теперь в среднем составляет $10 тыс.

Наиболее распространённой целью кибератак в 2022 году было вымогательство, которое достигалось не только с помощью соответствующих программ, но и посредством компрометации корпоративной электронной почты. На Европу пришлось приблизительно 44% всех случаев вымогательства — злоумышленники стремились эксплуатировать геополитическую напряжённость. В 2022-м значительно возросло количество перехватов информации, когда киберпреступники использовали скомпрометированные учётные записи для фальсификации ответов и ведения ложной переписки от имени владельца аккаунта.

Продолжают применяться устаревающие эксплойты. Доля известных зловредов по отношению к уязвимостям снизилась на 10% с 2018 по 2022 год из-за того, что количество дыр в ПО достигло нового рекордного уровня в 2022 году. Полученные данные показывают, что старые эксплойты позволяют многолетним вредоносным программам, таким как WannaCry и Conficker, продолжать существовать и распространяться. Число киберпреступников, нацеленных на информацию о кредитных картах, за год сократилось на 52%: это указывает на то, что злоумышленники отдают приоритет личной информации, такой как имена, электронные письма и домашние адреса, которую можно продать по более высокой цене в даркнете.^[2]

2021: В 80% кнопочных телефонов в России нашли «закладки»

2 сентября 2021 года стало известно о том, что кнопочные телефоны российских производителей содержат незадекларированные функции. Речь идет о так называемых «закладках» в прошивке, которые позволяют, например, рассылать SMS на платные номера, перехватывать входящие сообщения и выходить в интернет без ведома пользователя.

Как пишет «Коммерсантъ», бэкдоры содержат 80% устройств. Так, модель SF63 российского бренда Irbis может использовать номера телефонов для регистрации сторонних лиц в онлайн-сервисах.

В 80% кнопочных телефонов в России обнаружили «закладки»

Модель Dexp SD2810 сети магазинов DNS отправляет SMS на платные короткие номера. Устройства бренда F+ автоматически и незаметно для пользователя отправляют сообщения на определенный номер с информацией о номере устройства и SIM-карте. В компании «Ф-Плюс Мобайл» сообщили изданию, что, если получают «обращения пользователей по поводу каких-либо багов, исправляют их в следующих прошивках».

По данным «Лаборатории Касперского», почти каждый вендор оборудует свои телефоны как минимум функцией скрытой отправки регистрационных данных. Какая доля устройств отправляет платные SMS, в компании не сообщили.

История, скорее всего, массовая. Потому что в России или любой другой стране, где доля кнопочных телефонов значительна, подобная схема будет эффективна, — рассказал «Известиям» исследователь мобильных угроз «Лаборатории Касперского» Виктор Чебышев.

Устройства собираются в Китае, а производители не всегда проводят контроль конечной продукции на предмет подобных уязвимостей, поэтому мошенникам несложно договориться о модификации телефонов из низшего ценового сегмента на этапе сборки, отмечает глава отдела кибербезопасности SearchInform Алексей Дрозд. По его словам, для борьбы с незадекларированными возможностями заказчикам нужно усилить контроль конечной продукции, а производителям — выпустить обновление прошивки.^[3][4]

Смотрите также

Примечания