Китайские компьютеры поставляются с предустановленным «вредоносным ПО»

Компания Microsoft только что обнаружила, что на новых компьютерах, продаваемых в Китае, предварительно установлено вредоносное ПО, которое скрыто и ждет приказа проникнуть на компьютеры пользователей, украсть банковские счета и конфиденциальные данные, а также удаленно управлять компьютерами для атак на веб-сайты.

Использование пиратского ПО может легко привести к заражению вредоносным ПО через бэкдор. Фото: Дюк Тьен

Об этом инциденте стало известно из судебных документов, запечатанных 13 сентября в федеральном суде Вирджинии (США). В документе описывается кампания Microsoft против киберпреступников, атакующих операционную систему Windows — самую популярную цель вирусов. В нём Microsoft обнаружила крайне вредоносный код Nitol.

«Задняя дверь» Китая

Следователи Microsoft в Китае приобрели 20 новых компьютеров у розничных продавцов и подключили их к Интернету. На всех компьютерах были предустановлены пиратские версии Windows, а четыре из них были «подарены» вредоносным ПО. Один компьютер с Nitol оказался наиболее заметным, поскольку вредоносное ПО мгновенно активировалось и запускалось при первом включении, без какого-либо взаимодействия с пользователем. Nitol устанавливает бэкдоры, позволяющие киберпреступникам удалённо управлять компьютером для рассылки спама, слежки за пользователями, кражи личных данных или атак на веб-сайты. Ноутбук, заражённый Nitol, был произведён компанией Hedy Computer Company в Гуанчжоу, Китай.

В документах Microsoft описывается принцип работы вредоносной программы Nitol: «Как только мы включаем компьютер, он начинает сканировать Интернет в поисках другого компьютера для связи». Скорость заражения поразительна: достаточно просто подключить USB-накопитель с Nitol к зараженному компьютеру, чтобы запустить на нем репликацию. После этого подключение USB-накопителя к любому другому компьютеру приведет к быстрому заражению новых целей. В судебных документах Microsoft предоставила несколько тысяч образцов вредоносной программы Nitol, включая множество различных вариантов.

По данным Microsoft, несмотря на географическую удаленность, Nitol быстро распространился на множество компьютеров в Китае, США, России, Австралии и Германии. По мере роста числа зараженных компьютеров они способствуют созданию ботнета Nitol (сети компьютеров-«призраков», удаленно управляемых владельцами) – инструмента для заработка киберпреступников, который может представлять угрозу для любой компьютерной системы в мире, когда число зараженных компьютеров достигает сотен тысяч, миллионов и более.

В ходе расследования Microsoft также обнаружила, что все варианты Nitol на зараженных компьютерах всегда были подключены к командным серверам (C&C), связанным с доменным именем 3322.org китайской компании. Microsoft обвинила этот сайт в том, что он является основным центром незаконной деятельности. Этот домен является «большим домом» для работы вредоносного ПО Nitol и более 560 других видов вредоносного ПО, создавая крупнейшее хранилище «заражённого» ПО, с которым когда-либо сталкивалась Microsoft. Ранее американские компании, занимающиеся безопасностью, предупреждали, что на доменное имя 3322.org пришлось более 17% вредоносных веб-транзакций в мире в 2009 году. В 2008 году «Лаборатория Касперского» (Россия) также опубликовала отчёт по безопасности, в котором говорилось, что 40% вредоносных программ одновременно были подключены к 3322.org.

Дэвид Ансельми, старший директор отдела расследования компьютерных преступлений Microsoft, демонстрирует схему распространения вредоносного ПО Nitol. Фото: THOMPSON/AP

Вьетнамские компьютеры могут быть заражены

По данным Главного статистического управления Вьетнама, за первые восемь месяцев этого года импорт электронных товаров, компьютеров и комплектующих достиг 8 млрд долларов США, что значительно больше, чем за аналогичный период прошлого года, – на 88,7%. Китай же является крупнейшим рынком для Вьетнама с импортным оборотом в 18,2 млрд долларов США, что на 17,9% больше, чем за аналогичный период 2011 года. Это наглядно демонстрирует массовое появление компьютеров китайского производства в розничных магазинах Вьетнама.

Ряд газет из многих стран опубликовали информацию о «вредоносном» программном обеспечении Nitol.

Опасность «задней двери»

По словам г-на Во До Тханга, если в компьютере есть «бэкдор», его можно полностью контролировать извне. Хакеры могут незаконно получить доступ к компьютеру пользователя, отслеживать его действия, например, историю посещений веб-сайтов, красть имя пользователя и пароль для онлайн-транзакций или превратить компьютер в инструмент для распространения ботнета на другие компьютеры...

Эти опасности, если они возникнут, могут привести к серьёзным последствиям, поскольку все действия пользователей контролируются, а информация может быть украдена. В частности, когда вьетнамские пользователи используют компьютеры для совершения онлайн-покупок, хакеры могут получить доступ к таким данным, как данные кредитных карт, пароли для доступа к банковским счетам и т. д., и украсть деньги.

Представитель розничного продавца компьютеров сообщил: большинство брендов компьютеров размещают заказы на производство в Китае, дистрибьюторы во Вьетнаме также в основном импортируют товары из Китая. Компьютеры могут быть как с предустановленным программным обеспечением, так и без него. Компьютеры с установленным ПО, защищённым авторским правом, стоят дороже, однако розничные продавцы не могут проверить авторские права на установленное ПО (!?).

Между тем, согласно документам расследования Microsoft, многие производители компьютеров без маркировки и недобросовестные продавцы не стеснялись использовать пиратское ПО, предустановленное на компьютерах, чтобы снизить расходы. Потребители не могли знать, что на только что купленном ими продукте предустановлено вредоносное ПО с крайне опасными «бэкдорами». Они невольно стали «очень лакомыми» мишенями для киберпреступников.

В беседе с нами г-н Во До Тханг, директор Центра обучения и кибербезопасности Athena, сказал: «Характеристика ботнета — способность очень быстро распространяться через интернет. Поэтому, учитывая обнаружение ботнета и расследование, проведённое экспертами Microsoft, я полагаю, что Nitol может присутствовать во Вьетнаме». По словам г-на Тханг, Nitol может атаковать вьетнамских пользователей, незаметно открывая «бэкдоры», чтобы удалённые киберпреступники могли незаконно получить доступ к компьютерам пользователей. Этот процесс происходит очень незаметно, поэтому конечным пользователям без специальных знаний очень сложно его обнаружить.

Ранее компания Kaspersky Lab Security Company подробно раскрыла информацию о самых опасных на сегодняшний день шпионских программах, таких как Flame и Madi — вредоносных программах, специализирующихся на обработке запросов на кражу конфиденциальной информации из важных систем, включая атомные электростанции и государственные компьютерные системы. Джимми Лоу, эксперт по безопасности в Юго-Восточной Азии из Kaspersky Lab Security Company, однажды предупредил: «Поскольку центры управления Flame (серверы управления и контроля) были обнаружены в Китае и Индии — двух крупнейших странах Азии, — я думаю, что киберпреступники вполне могут использовать аналогичные серверы управления и контроля для атак на цели во Вьетнаме или Юго-Восточной Азии, если захотят».

Как предотвратить «черный ход»

Г-н Во До Тханг заявил, что для предотвращения взлома через «чёрный ход» пользователям не следует заходить на веб-сайты, а также загружать и устанавливать программное обеспечение из неизвестных источников. Кроме того, пользователям следует регулярно обновлять антивирусные программы, брандмауэры для защиты персональных компьютеров и программы обнаружения веб-сайтов с вредоносным и шпионским ПО, такие как Mcafee SiteAdvisor... Эта программа будет предупреждать пользователей о посещении веб-сайтов с вредоносным и шпионским ПО, а также «чёрными ходами» и одновременно блокировать дальнейший доступ, чтобы предотвратить заражение компьютера.

По данным Tuoitre-M