DarkPulsar: novi stari ameriški malware

Matej Huš

21. okt 2018 ob 16:41:32

Kaspersky Lab sporoča, da so odkrili okužene sisteme, ki jih je prizadela koda z imenom DarkPulsar, ki naj bi jo razvila in uporabljala ameriška Agencija za nacionalno varnost (NSA). Za zdaj so potrdili 50 primerov okužbe, predvidevajo pa, da jih je veliko več. Vse okužbe so zaznali v Rusiji, Iranu in Egiptu na računalnikih, ki jih poganja Windows 2003/2008 Server. Napad je bil zelo natančno usmerjen, saj so tarče podjetja in organizacije s področij jedrske energije, telekomunikacij, IT, raziskav in razvoja ter aeronavtike.

DarkPulsar je del orodij, ki so jih člani neznane skupine Shadow Brokers na splet priobčili lani, ko so domnevno vdrli v NSA in razgalili njena orodja za vdiranje v računalnike. Čeprav je bil DarkPulsar na ogled več kot poldrugo leto, se doslej ni zmenil zanj. Vsi so se osredotočili na ranljivost EternalBlue, ki je bila odgovorna za WannaCry, NotPetya in podobno nesnago, ki je pustošila lani.

Sedaj so raziskovalci pobliže pogledali še ostala orodja, med katerimi je tudi omenjeni DarkPulsar. Ta je del FuzzBuncha, ki je pogosto uporabljen skupaj z DanderSpritzem. DarkPulsar je predstavljal stranska vrata, ki jih je FuzzBunch uporabljal za dostop do strežnikov. Potem so lahko uporabili specializirani DanderSpritz za nadzor in pobiranje podatkov s teh strežnikov. Orodja so imela tudi stikalo za samouničenje, ki je pri opisanih 50 primerih očitno ostalo neaktivirano. Zdi se, da so napadalci na te sisteme preprosto pozabili.

V Kaspersky Labu so prepričani, da gre za delo NSA, čeprav 100-odstotnih dokazov danes ni.