Сервер ИT-подрядчика ФСО оказался заражен вирусом для майнинга
Сервер компании «Код безопасности», которая специализируется на разработке программного обеспечения для защиты информации, оказался заражен вирусами для майнинга криптовалют, сообщил РБК источник в правоохранительных органах и подтвердили антивирусный эксперт «Лаборатории Касперского» Денис Легезо и эксперт по информационной безопасности компании Cisco Алексей Лукацкий.
На официальном ftp-сервере «Кода безопасности», где хранятся продукты компании и обновления к ним, как минимум 25 и 26 февраля действительно появились многочисленные файлы под названием Photo.scr, в чем убедился и корреспондент РБК. Проверка этих файлов через онлайн-сканер «Доктора Веба» показала, что они заражены вредоносным софтом Trojan.Btcmine.1214, который предназначен для майнинга криптовалют. «Мы детектируем их как Trojan.Win32.Miner, — говорит Денис Легезо. — Распространение через открытые ftp-сайты — это один из методов доставки этого вредоноса жертвам. Второй метод — инфицированные дистрибутивы (установочный файл с программой. — РБК) на сайтах с бесплатным ПО. Функциональность у этой заразы простая — автоматически запуститься, когда пользователь входит в систему, и начать потреблять ресурсы чужого процессора для добычи криптовалюты».
«Код безопасности» разрабатывает линейки продуктов, предназначенные для защиты государственных информационных систем, обнаружения и предупреждения вторжений, защиты государственной тайны. Среди клиентов компании, согласно ее сайту, — Министерство обороны, Федеральная служба охраны, Генеральная прокуратура, Министерство внутренних дел, Центральный банк России. Компания входит в холдинг «Информзащита», выручка которого в 2016 году составила 6,8 млрд руб. Показатели за 2017 год еще не раскрывались.
Ранее компания Check Point сообщала, что во втором полугодии 2017 года от незаконного майнинга пострадала каждая пятая компания в мире. Самыми распространенными валютами для скрытого майнинга являются Monero (XMR) и Zcash, сообщали в «Лаборатории Касперского».
Человеческий фактор
«Самый логичный сценарий распространения вируса — случайное занесение майнера на открытый для всех сервер в надежде на то, что клиенты, скачивающие ПО, вместе с файлом сами установят майнер к себе в сеть», — поясняет Алексей Лукацкий. По его словам, владельцы вируса-майнера могут даже не знать, кого они заразили. «Если же они знают, то рассчитывают, что клиенты изначально доверяют компании по информационной безопасности и даже не будут проверять файлы, скачиваемые с доверенного ftp-сервера», — говорит Лукацкий.
В «Коде безопасности» утверждают, что специально разместили на сервере вредоносные файлы. «На нашем ftp-сервере в разделе «Демо-версии» размещаются различные образцы зловредных файлов для проверки функциональности наших программных и программно-аппаратных продуктов. Ftp-сервер, содержащий подобные файлы, находится в изолированном от основной инфраструктуры сегменте. Подобная практика применяется практически всеми производителями средств защиты информации. Такова специфика нашей работы: поскольку мы занимаемся информационной безопасностью — заказчики просят временно размещать образцы зловредного ПО для проверки функциональных возможностей и качества работы наших продуктов», — передал РБК через пресс-службу директор по информационным технологиям «Кода безопасности» Илья Евсеев.
При этом вредоносные файлы оказались не только в разделе с демо-версиями программ. После обращения РБК в компанию за комментарием весь раздел с продуктами компании на ftp-сервере перестал открываться. Причину появления в нем вредоносных файлов представитель компании назвал недоразумением. «Видимо, имела место ошибка, связанная с человеческим фактором: специалист мог поторопиться и положить файлы не в ту папку», — пояснил он, добавив, что «Код безопасности» проводит проверку сервера, после чего он будет работать в нормальном режиме.
«Чтобы исключить описанную выше ошибку, мы сейчас проводим проверку содержимого ftp-сервера. После ее завершения раздел будет работать в штатном режиме. Файлы будут помещены в специальные папки, которые будут доступны только клиентам, запросившим такие образцы, после авторизации», — заключили в компании.
Наказание за тайный майнинг
Опрошенные РБК эксперты утверждают, что за сознательное размещение вредоносных файлов на корпоративном сервере сотрудникам компании может грозить уголовная ответственность. «Вне зависимости от того, в каких целях вредоносный софт был размещен на сайте разработчика, в благих или корыстных, данное деяние может быть квалифицировано как распространение вредоносных компьютерных программ, поскольку де-факто размещенные на сайте файлы были доступны для скачивания неограниченному кругу лиц, и состав преступления в конкретном случае достаточно очевиден. В соответствии со ст. 273 УК («Создание, использование и распространение вредоносных программ для ЭВМ») за подобное предусмотрена уголовная ответственность», — говорит исполнительный директор HEADS Consulting Никита Куликов. Максимальное наказание по этой статье — семь лет лишения свободы.
Куликов отмечает, что субъектом применения ответственности могут быть только конкретные физические лица, а не вся компания. «В качестве юридического лица привлечь разработчика к ответственности не выйдет — необходимы следственные мероприятия, в ходе которых нужно будет установить лицо или группу лиц, ответственных за принятие решения о размещении в открытом доступе вредоносного софта и непосредственно совершивших данное преступление. Сделать это крайне сложно, тем более в данной ситуации идет речь об организации, разрабатывающей софт для спецслужб, так что я не удивлюсь, если никаких последствий для разработчика и конкретных лиц, ответственных за размещение вредоносных программ, не последует, в лучшем случае этот софт с сайта будет удален. Опять же нельзя исключать варианта, что на деле состав преступления отсутствует и разработчик сам является жертвой киберпреступников и использует не самую удачную отговорку для того, чтобы скрыть этот факт, способный нанести вред его репутации», — говорит Никита Куликов.
«С одной стороны, распространение вредоносных программ является уголовно наказуемым деянием согласно ст. 273 УК. С другой — доказать вредоносность криптомайнера не так просто, так как он не предназначен для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты компьютерной информации, что является основным квалифицирующим признаком в Уголовном кодексе. Да и наличие злого умысла в данном случае, скорее всего, отсутствует. Но только анализ криптомайнера позволит сделать вывод о его функциях и вредоносной составляющей, что уже может послужить причиной для дальнейшего расследования», — говорит Алексей Лукацкий.
Насколько распространены вирусы для майнинга
По данным «Лаборатории Касперского», использование вирусов для майнинга выросло в 2017 году. Если в 2013 году компания зарегистрировала около 205 тыс. попыток заразить пользователей, то к 2016 году количество атак превысило 1,8 млн, а за восемь месяцев 2017 года было зарегистрировано 1,65 млн попыток заражения.
В июле 2017 года советник президента по интернету Герман Клименко рассказал, что вирусом для майнинга заражено 20–30% компьютеров в России. Представитель «Лаборатории Касперского» тогда подтверждал серьезность угрозы, но отмечал, что лишь 6% пользователей компании подверглись атакам в целях установки майнеров за прошедшую половину 2017 года.
Один из самых громких случаев — заражение такими вирусами около 200 тыс. компьютеров в мае 2017 года, когда злоумышленникам удалось заработать на этом более $1 млн. В декабре 2017 года появилась информация о вирусе Digmine, который распространялся через Facebook Messenger. На зараженные компьютеры устанавливалось ПО и расширение Chrome для майнинга Monero.
Кроме того, в сентябре прошлого года компания ESET сообщила о новом мошенническом способе майнинга без ведома пользователя, когда в рекламные баннеры в интернете вставляют вредоносный код, запускающий процесс добычи криптовалют прямо в браузере при заходе на сайт. Похожий способ несанкционированного пользователем майнинга обнаружили в январе 2018 года на YouTube. Код майнера Coinhive нашли в рекламных баннерах на видеохостинге.
В феврале этого года стало известно, что более чем на 4 тыс. интернет-сайтов по всему миру, включая британские, австралийские и американские правительственные интернет-ресурсы, присутствовал майнер криптовалюты, который содержался в коде скрипта преобразования текста в речь. Майнер использовал до 40% вычислительных мощностей посетителей.