2018-2-27 15:01 |
Сервер компании «Код безопасности», которая специализируется на разработке софта для защиты информации, оказался заражен вирусами для майнинга криптовалют, рассказал РБК источник в правоохранительных органах и подтвердили антивирусный эксперт «Лаборатории Касперского» Денис Легезо и эксперт по информационной безопасности Cisco Алексей Лукацкий. На официальном ftp-сервере «Кода безопасности», где хранятся продукты компании и обновления к ним, как минимум 25 и 26 февраля действительно появились многочисленные файлы под названием Photo.scr, убедился и корреспондент РБК. Проверка этих файлов через онлайн-сканер «Доктора Веба» показывает, что они заражены вредоносным софтом Trojan.Btcmine.1214, который предназначен для майнинга криптовалют. «Мы детектируем их как Trojan.Win32.Miner, — отмечает Денис Легезо. — Распространение через открытые ftp-сайты — это один из методов доставки этого вредоноса жертвам. Второй метод — инфицированные дистрибутивы (установочный файл с программой — РБК) на сайтах с бесплатным ПО. Функциональность у этой заразы простая — автоматически запуститься, когда пользователь входит в систему, и начать потреблять ресурсы чужого процессора для добычи криптовалюты». «Самый логичный сценарий распространения вируса — случайное занесение майнера на открытый для всех сервер в надежде на то, что клиенты, скачивающие ПО, вместе с файлом сами установят майнера к себе в сеть», — поясняет Алексей Лукацкий. По его словам, владельцы вируса-майнера могут даже не знать, кого они заразили. «Если же они знают, то рассчитывают, что клиенты изначально доверяют компании по информационной безопасности и даже не будут проверять файлы, скачиваемые с доверенного ftp-сервера», — говорит Лукацкий. В самой компании утверждают, что специально разместили на сервере вредоносные файлы. «На нашем ftp-сервере в разделе «Демо-версии» размещаются различные образцы зловредных файлов для проверки функциональности наших программных и программно-аппаратных продуктов. Ftp-сервер, содержащий подобные файлы, находится в изолированном от основной инфраструктуры сегменте. Подобная практика применяется практически всеми производителями средств защиты информации. Такова специфика нашей работы: поскольку мы занимаемся информационной безопасностью — заказчики просят временно размещать образцы зловредного ПО для проверки функциональных возможностей и качества работы наших продуктов», — передал через пресс-службу директор по информационным технологиям «Кода безопасности» Илья Евсеев. Но вредоносные файлы были размещены не только в разделе с демо-версиями продуктов, убедился корреспондент РБК, а после обращения РБК за комментарием весь раздел с продуктами компании на ftp-сервере перестал открываться. Причину появления вредоносных файлов не только в разделе с демо-версиями представитель компании объяснил ошибкой, связанной с человеческим фактором. «Видимо, имела место ошибка, связанная с человеческим фактором: специалист мог поторопиться и положить файлы не в ту папку», — пояснил он, добавив, что «Код безопасности» проводит проверку сервера. «Чтобы исключить описанную выше ошибку, мы сейчас проводим проверку содержимого ftp-сервера. После ее завершения раздел будет работать в штатном режиме. Файлы будут помещены в специальные папки, которые будут доступны только клиентам, запросившим такие образцы, после авторизации», — заключили в компании. «Код безопасности» разрабатывает линейки продуктов, предназначенные для защиты государственных информационных систем, обнаружения и предупреждения вторжений, защиты государственной тайны. Клиентами компании на ее сайте указаны Министерство обороны, Федеральная служба охраны, Генеральная прокуратура, Министерство внутренних дел, Центральный банк России и др. Компания входит в холдинг «Информзащита», выручка которого в 2016 году составила 6,8 млрд руб. Показатели за 2017 год еще не раскрывались. Ранее компания Check Point сообщала, что во втором полугодии 2017 года от незаконного майнинга пострадала каждая пятая компания в мире. Самыми распространенными валютами для скрытого майнинга являются Monero (XMR) и Zcash, сообщали в «Лаборатории Касперского». источник »