Wired: Хакеры использовали VirusTotal для обнаружения брешей во вредоносных кодах

image

Теги: анализ вредоносного кода

Названия файлов, даты и IP-адреса позволили установить, что наиболее часто файлы загружались вирусописателями из Китая и Ирана.

Вирусописатели использовали антивирусный сайт Google VirusTotal для обнаружения уязвимостей в своих вредоносных кодах. Об использовании ресурса сообщил блогер Брэндон Диксон (Brandon Dixon).

Как уверяет Диксон, долгое время он анализировал файлы, загружаемые на антивирусный сайт. Используя разработанный им алгоритм, блогер сумел отличить файлы, содержащие вредоносные коды. Дальнейший анализ показал, что некоторые хакеры постоянно проверяют на VirusTotal свои разработки.

В частности, по информации Диксона, названия файлов, даты и IP-адреса позволили установить, что программы были написаны вирусописателями из Китая и Ирана. Одной из «постоянных» хакерских групп стали злоумышленники из Comment Crew, или APT1, которых спонсирует правительство Китая. Именно их обвиняют во взломе сайтов издания The New York Times и портала корпорации Coca-Cola.

В список также попали китайские хакеры NetTraveler, атаковавшие ресурсы Далай Ламы и организаций, выступающих за независимость Тибета.

Согласно результатам анализа Диксона, киберпреступники из Поднебесной гораздо менее активны, нежели иранские хакер. Так, последние за июнь этого года проверили на сайте VirusTotal свыше тысячи файлов. В то же время китайские хакеры ежегодно загружают на ресурс Google порядка 350-400 программ.

Стоит отметить, что изначально хакеры использовали всего 2-3 IP-адреса, однако вскоре стали регулярно менять их. Для того чтобы сделать процесс поиска и отслеживания хакеров более эффективным, Диксон опубликовал в своем блоге исходный код написанного алгоритма. 

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.