Как стать автором
Обновить
288.02
Рейтинг
«Лаборатория Касперского»
Ловим вирусы, исследуем угрозы, спасаем мир

Security Week 18: непреднамеренный кибершпионаж

Блог компании «Лаборатория Касперского»Информационная безопасность
В конце апреля в блоге компании ERNW появилась интересная заметка о подозрительной активности на корпоративных лаптопах. Рабочий ноутбук передали специалистам компании с подозрением на что-то, очень напоминающее кибершпионаж. Предварительный анализ содержимого жесткого диска ничего интересного не выявил, следов вредоносной активности не обнаружили. А вот после запуска системы в логах нашлось нечто странное:



На скриншоте происходит следующее: аудиодрайвер смотрит, есть ли запись в реестре Windows, не находит ее и пишет на жесткий диск аудиофайл. Расследование обнаружило ошибку в драйвере для аудиочипа Realtek: он проверял наличие флага, включающего режим отладки (DebugFunction=1), но неверно отрабатывал ситуацию, когда запись в реестре отсутствовала, и начинал без ведома пользователя записывать звук с микрофона при любом обращении к себе (например, когда исследователь открывал настройки звука).

Безопасника, запросившего аудит, можно понять: куча записей с микрофона во временной директории Windows очень похожа на следы шпионской программы. До марта 2020 года такая активность аудиодрайвера могла пройти незамеченной. Но с переходом на удаленную работу на системный диск начали падать записи многих часов конференц-звонков. В некоторых случаях это даже приводило к переполнению накопителя. Что, видимо, и запустило расследование данного инцидента. Впрочем, странное поведение компьютера не всегда свидетельствует о вредоносной деятельности — иногда это просто ошибка.

В блоге ERNW нет данных о распространенности этой проблемы. Указывается лишь конкретная версия драйвера со сбоем — Realtek High Definition Audio Driver 6.0.1.8045. Разработчик допустил довольно распространенную ошибку: неверная работа драйвера была незаметна при отладке, когда необходимый ключ прописан в реестре. И еще: такую «фичу» штатного ПО легко адаптировать для действительно вредоносных действий.

Что еще произошло


Исследования «Лаборатории Касперского». Первое — о снижении абсолютного числа атак вымогателей-шифровальщиков на пользовательские ПК. Не стоит расслабляться: операторы явно переключились с широкого распространения вредоносного ПО на точечные выпады в адрес компаний. Второе — отчет об активности APT-группировок в I квартале 2021 года.

Брайан Кребс пишет о дыре в API крупного американского бюро кредитных историй Experian. Долгое время к базе данных можно было обратиться без авторизации.

Криптовалюты убивают бесплатные инструменты непрерывной интеграции. В блоге компании LayerCI, поставщика подобного решения, описаны попытки абьюза систем, позволяющих выполнять собственный код на чужих ресурсах, для майнинга криптовалют.

Больше 4 млн почтовых адресов появились в базе сервиса Haveibeenpwned после разгрома ботнета Emotet. Такой нестандартный источник данных позволит уведомить пользователей, чьи пароли украли в результате заражения компьютера вредоносной программой.
Теги:realtek
Хабы: Блог компании «Лаборатория Касперского» Информационная безопасность
Всего голосов 8: ↑7 и ↓1 +6
Просмотры2.5K
Incident Response Specialist
Лаборатория КасперскогоМосква
SOC Expert
Лаборатория КасперскогоМосква
Malware Analyst Team Lead
Лаборатория КасперскогоМосква
Malware Analyst
Лаборатория КасперскогоМосква
Penetration Testing Specialist
Лаборатория КасперскогоМосква

Лучшие публикации за сутки

Информация

Дата основания
Местоположение
Россия
Сайт
www.kaspersky.ru
Численность
1 001–5 000 человек
Дата регистрации

Блог на Хабре