Анализ работы VirusTotal выявил две группировки хакеров из Китая и Ирана

Независимый исследователь информационной безопасности Брэндон Диксон опубликовал у себя в блоге материал, в котором рассказал об обнаруженных следах использования хакерами принадлежащего Google ресурса VirusTotal, для отладки своих вредоносных программ.

На протяжении нескольких лет Диксон с помощью различных методов (каких конкретно, он не указывает) собирал данные о поведении пользователей ресурса VirusTotal, с помощью которого можно осуществлять проверку различных файлов на предмет их безопасности. По словам исследователя, сервис, который обычные пользователи сети применяют для повышения своего уровня защищенности, послужил злоумышленникам средством для отладки софта.

Проект VirusTotal был основал в 2004 году в Испании и куплен Google в 2012 году — он объединяет больше трех десятков антивирусов и сканеров безопасности производства Symantec, Kaspersky Lab, F-Secure и других компаний. Исследователи безопасности и простые пользователи сети могут загружать на сайт файлы для их проверки на предмет вредоносности.

Диксон изучал поведение пользователей VirusTotal с помощью уникальных хэшей, которые присваиваются им при загрузке файлов на сайт. Хакеры загружали файлы на сайт до тех пор, пока антивирусы VirusTotal не сообщали о том, что не обнаружили ничего подозрительного. Диксону удалось обнаружить следы нескольких конкретных хакеров или групп киберпреступников. Более того, исследователю даже удалось определить будущие цели атаки злоумышленников.

Сделать это удалось благодаря тому, что при каждой загрузке файла на VirusTotal появляются метаданные, включающие название файла и время его создания и загрузки, а также хеш, созданный на основе IP-адреса и страны, из которой произошла загрузка. Google использует различные методы для того, чтобы усложнить выделение IP-адреса из хеша, но Диксону удалось по крайней мере определить хеши IP-адресов, с которых осуществлялись множественные загрузки файлов.

Исследователь разработал алгоритм для обработки собранных данных. Как сообщает издание Wired, в результате ему удалось выявить паттерны и географические области загрузки двух группировок хакеров из Китая и Ирана. При этом, Диксон в некоторых случаях мог даже отслеживать развитие атак — сначала вредоносные файлы загружали для теста сами хакеры, а затем уже с других адресов жертвы нападения.

Диксон говорит, что собрал настолько много информации об активности на сайте злоумышленников, что настала пора поделиться ей с общественностью.

Источник: habrahabr.ru

Реклама
Запись опубликована в рубрике News. Добавьте в закладки постоянную ссылку.

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s