Cyberszpieg z chińskim akcentem kradnie projekty AutoCAD

21-06-2012, 20:11

Kilkadziesiąt tysięcy plików stworzonych za pomocą programu AutoCAD zainfekował nowo odkryty program szpiegujący ACAD/Medre.A, stworzony najprawdopodobniej przez Chińczyków.

Za sprawą odkrytego pod koniec maja Flame'a głośno się zrobiło o narzędziach, które mogą posłużyć jako cyberbroń. Szybko wyszło na jaw, że zidentyfikowany wcześniej Stuxnet, który atakował instalacje przemysłowe, został stworzony przez Stany Zjednoczone i Izrael w celu sabotowania irańskiego programu nuklearnego. Oficjalnie tych informacji nikt oczywiście nie potwierdził, pojawiły się za to doniesienia, że podobną genezę ma Flame. Z dnia na dzień okazało się, że cyberwojna nie jest wymysłem nawiedzonych dziennikarzy, trwa od co najmniej pięciu lat i nie przodują w niej „źli chińscy hakerzy”, o których nieraz pisały zachodnie media.

Czytaj także: W cyberwojnie USA może dostać rykoszetem

Chiński akcent w końcu się jednak pojawił. Zagrożenie, któremu nadano nazwę ACAD/Medre.A, zidentyfikowali specjaliści firmy ESET. Po dokładnej analizie okazało się, że zarażone robakiem pliki były wysyłane na konta e-mail w Chinach (22 adresy pocztowe w domenie 163.com oraz 21 adresów w domenie qq.com). Transfer zainfekowanych plików został zablokowany przy współpracy z chińskim dostawcą internetu Tencent, tamtejszym centrum reagowania na incydenty komputerowe i producentem oprogramowania AutoCAD - na działanie zagrożenia podatne są wersje od 14.0 do 19.2 (od AutoCAD 2000 do AutoCAD 2015).

Większość infekcji wykryto w Peru, według ekspertów szkodnik powstał prawdopodobnie w celu szpiegowania firm tego właśnie kraju. ACAD/Medre.A trafił do przedsiębiorstw, które realizowały zamówienia dla sektora rządowego. Każdy nowy projekt, stworzony na zainfekowanym komputerze, był automatycznie przesyłany do twórcy zagrożenia. Nie trzeba chyba tłumaczyć, z jakimi stratami finansowymi dla twórcy projektu może wiązać się sytuacja, w której cyberprzestępca zyskuje dostęp do szkicu, zanim ten wejdzie w fazę realizacji - mówi Righard Zwienenberg, starszy analityk zagrożeń firmy ESET.

Robak przedostaje się na komputer użytkownika zwykle w katalogu z plikiem o rozszerzeniu .dwg (format, w jakim AutoCAD zapisuje projekty), jako ukryty zbiór acad.fas. Otwarcie tego projektu powoduje aktywację i powiązanie zagrożenia z plikiem .dwg oraz skopiowanie robaka do kilku różnych lokalizacji. Od tego momentu każde otwarcie nowego lub istniejącego pliku AutoCAD skutkuje skopiowaniem szkodnika do folderu, w którym zapisywany jest projekt. Przeniesienie folderu na dysk innego komputera prowadzi oczywiście do zainfekowania kolejnej maszyny. ACAD/Medre.A nie jest więc tak skomplikowanym narzędziem, jak wspomniany wyżej Flame, ale przyświeca mu podobny cel - kradzież danych (tak, Flame'a też interesują projekty AutoCAD, choć nie tylko).

Czytaj także: Cyberszpieg Flame otrzymał rozkaz autodestrukcji

Firma ESET przygotowała bezpłatne narzędzie, dzięki któremu każdy potencjalnie zagrożony użytkownik może skutecznie zneutralizować ACAD/Medre.A. Szczepionkę można pobrać ze strony: download.eset.com/special/EACADMedreCleaner.exe


Źródło: ESET, Dziennik Internautów
  
znajdź w serwisie

RSS - Wywiad
Wywiad  
RSS - Interwencje
RSS - Porady
Porady  
RSS - Listy
Listy  
« Październik 2019»
PoWtŚrCzwPtSbNd
 123456
78910111213
14151617181920
21222324252627
28293031