Как сообщают эксперты “Лаборатории Касперского”, созданная в компании Absolute Software программа Computrace позиционируется на рынке как механизм отслеживания и защиты своих компьютерных систем. Программа устанавливается в прошивку устройства, что затрудняет ее удаление. По словам исследователей, Computrace использует множество уловок, которые присущи вредоносному ПО. К примеру, агент противодействует отладке, вписывает свою память в другие процессы и сохраняет файлы конфигурации в зашифрованном виде.
При этом сетевой протокол, который используется программой, предлагает основные функции для удаленного выполнения кода. Более того, этот протокол не использует какое-либо шифрование и не требует аутентификации удаленного сервера, что открывает огромную перспективу для совершения атак.
“Несмотря на то, что шифрование присутствует на более поздних стадиях обращения к системе, злоумышленник может использовать основный незашифрованный протокол и успешно осуществить атаку, – отмечают в ЛК. – В ходе атаки на локальную сеть, весь трафик пользователя будет перенаправляться на хостинг злоумышленников при помощи ARP-инъекции. Еще одна возможность, открывающаяся перед хакерами, позволяет использовать атаку на DNS-сервисы, чтобы подключить агента к поддельному C&C-серверу”.
По мнению экспертов, это только небольшая часть сценариев нападения, которые могут использовать киберпреступники. Примечательно, что вице-президент по международному маркетингу компании Absolute Software Стивен Мидгли (Stephen Midgley) заявил о необходимости более тщательного изучения отчета экспертов ЛК и отметил, что компания примет все необходимые меры. (Касперский/NovostIT)