Автором вредоносного ПО Bachosens оказался житель Тирасполя

Специалисты компании Symantec идентифицировали разработчика сложного вредоносного ПО Bachosens, использовавшегося в атаках на крупную китайскую автотехническую компанию и одного из авиаперевозчиков. Как удалось выяснить, хакера зовут Игорь и проживает он в Тирасполе (столица Приднестровской Молдавской Республики). Что интересно, вирусописатель сам упростил работу исследователям - он разместил свои персональные данные на одном из публичных автофорумов.

Первые атаки с использованием Bachosens были зафиксированы в 2014 году. Учитывая сложность вредоносного ПО, эксперты первоначально пришли к выводу, что к его созданию причастны поддерживаемые каким-либо правительством хакеры, но затем заметили несколько ошибок, больше свойственных начинающим вирусописателям.

Bachosens представляет собой бэкдор, позволяющий получить постоянный доступ к целевой системе. Вредоносное ПО распространяется посредством спам-рассылки. В ходе анализа атак эксперты Symantec также заметили кейлоггер, который, по их мнению вручную устанавливался злоумышленником на инфицированном устройстве.

В отличие от остальных бэкдоров Bachosens использует DNS, ICMP и HTTP для связи с управляющими серверами, а также генератор доменов (Domain Generation Algorithm, алгоритм генерации доменных имен) для создания доменов, использующихся в качестве C&C-серверов.

В ходе изучения кода Bachosens и данных доменного имени эксперты вышли на след русскоязычного хакера, предположительно проживающего в Тирасполе. По всей видимости, злоумышленник связан с магазином автозапчастей, что объясняет его атаку на китайского производителя. По данным Symantec, хакер похитил программное обеспечение для диагностики автомобилей стоимостью $1,1 тыс. и предлагал его на различных форумах и специально созданных для этой цели web-сайтах всего за $110.