8 июня 2011 г.
«Облако» Amazon Web Services (AWS) - рассадник вредоносного кода, который используется для кражи финансовых данных, предупреждает Kaspersky Lab.Как заявил эксперт компании Дмитрий Бестужев, облако Amazon содержит множество включений вредоносного кода, который может красть финансовые данные.
Некоторые полагают также, что хакеры использовали облачные сервисы Elastic Compute Cloud (EC2) для запуска одной из атак на сеть онлайн-развлечений Sony в апреле и мае.
«Недавно появились сообщения, что облако Amazon послужило платформой для успешных атак на Sony, - пишет Бестужев в блоге о проблемах Amazon. - Что ж, сегодня я обнаружил, что [облако] Amazon Web Services используется теперь для посева кода, крадущего финансовую информацию».
Он обнаружил, что киберпреступники, организовавшие эти атаки, находятся в Бразилии и использовали несколько ранее зарегистрированных аккаунтов. Бестужев пишет, что он предупредил Amazon о наличии вредоносного кода, но спустя 12 часов опасные ссылки всё еще были там и действовали.
Эти атаки на Sony, пишет Бестужев, и обнаружение вредоносных ссылок в облаке Amazon свидетельствуют, что киберпреступники всё шире используют официальные облачные сервисы как плацдарм для своих атак.
Обнаруженный им код кражи финансовых данных выступает в нескольких формах; он доставляется на компьютер жертвы и действует разными способами, пишет Бестужев.
В одном таком случае он действует как руткит; он ищет четыре разных антивируса и блокирует их выполнение, а также специальную программу защиты GBPluggin, используемую многими бразильскими банками для онлайн-транзакций. Этот код способен красть финансовую информацию из девяти бразильских и двух международных банков, красть идентификационную информацию Microsoft Live Messenger, цифровые сертификаты, используемые eTokens в своей системе, а также информацию ЦП, номер тома жесткого диска, имя ПК и другие данные, используемые некоторыми банками для аутентификации при входе в систему.
Вредоносный код на Amazon передает украденные данные двумя способами: по электронной почте на аккаунт киберпреступника на Google Gmail либо через специальный php-файл, который вставляет их в удаленную базу данных. Мало того, пишет Бестужев, вредоносный код защищен официальным антипиратским ПО под названием The Enigma Protector, чтобы затруднить декомпиляцию.
Всё это показывает, пишет Бестужев, что киберпреступники будут находить всё новые способы использовать облако для запуска своих атак, и поставщикам облака следует усилить меры защиты.
«Я полагаю, что официальные облачные сервисы будут и дальше использоваться преступниками для кибератак различных типов, - пишет Бестужев. - Поставщикам облака следует задуматься о совершенствовании своих систем мониторинга и расширении персонала защиты, чтобы эффективно пресекать попытки атак, предпринимаемые из их облака и с его помощью».
Источник: Эндрю Р. Хики, CRN/США