Хакеров уличили в использовании антивирусного сайта Google для поиска багов во вредоносном коде

Крупные хакерские группировки, ответственные в том числе за взлом сайтов The New York Times и Coca-Cola, проверяли свой вредоносный код на наличие багов через антивирусный сайт Google. Об этом 2 сентября сообщает журнал Wired.

Схему с использованием злоумышленниками противовирусного ресурса американской IT-компании удалось обнаружить блогеру Брэндону Диксону (Brandon Dixon), специализирующемуся на изучении вопросов кибербезопасности.

По его данным, хакеры проверяли код с помощью сайта VirusTotal — агрегатора, предоставляющего пользователям бесплатный доступ к антивирусному ПО почти 50 сторонних компаний-разработчиков от Symantec до «Лаборатории Касперского». Основанная в Испании компания VirusTotal принадлежит Google с 2012 года.

В течение нескольких лет Дискон отслеживал загружаемые на VirusTotal файлы с кодом, при помощи специального алгоритма выявляя те из них, что содержат в себе вирусы. В итоге ему удалось обнаружить несколько групп хакеров, регулярно проверявших на ресурсе создаваемые ими вредоносные программы.

По именам их документов, датам и IP-адресам, хранящимся в метаданных, блогер установил, что вирусы загружались на проверку одними и теми же людьми, принадлежащими к хакерским командам из Китая и Ирана.

Брэндон Диксон

Одна из таких команд — Comment Crew, также известная, как APT1 — спонсируется китайским правительством и ранее брала на себя ответственность за взлом сайта газеты The New York Times и официального портала корпорации Coca-Cola. 

Другая группа — NetTraveler. Команда тоже базируется в Китае и использует VirusTotal для проверки кодов, с помощью которых затем атакует ресурсы Далай Ламы и различных организаций, выступающих за независимость Тибета.

В июне этого года блогеру также удалось обнаружить активную группировку хакеров, работавших с иранских IP-адресов. За несколько месяцев они загрузили для проверки на VirusTotal более тысячи вирусных документов. Для сравнения, хакеры из Китая каждый год проверяли на антивирусном сайте Google около 350-400 документов.

Обнаружить хакеров было непросто. Сначала, когда я смотрел на все полученные мной данные, я даже не знал с чего начать поиски. Но позже оказалось, что хакеры используют для выгрузки файлов всего два-три IP-адреса. Только спустя какое-то время они, судя по всему поняли, что за ними могут следить и стали постоянно менять IP. Брэндон Диксон

За день до публикации в Wired Диксон выложил у себя в блоге исходный код написанной им программы, собирающей метаданные загружаемых на VirusTotal файлов. По словам блогера, он надеется, что к отслеживанию хакеров, паразитирующих на антивирусном ресурсе Google, теперь подключатся и другие исследователи.

Представители Google на момент написания этой заметки никак не прокомментировали сведения об использовании VirusTotal хакерами.