Эксперты Symantec выявили разработчика сложной вредоносной программы Bachosens, применявшейся в ходе атак на крупную автотехническую компанию Китая.
Оказалось, что ее создал хакер по имени Игорь, проживающий в городе Тирасполь (столица непризнанной Приднестровской Молдавской Республики). Примечательно, что он сам облегчил работу экспертам, разместив свои персональные данные на одном из автомобильных форумов.
Впервые программа Bachosens была зафиксирована в 2014 году. С учетом сложности вредоносной программы эксперты сначала сделали вывод, что она разработана правительственными хакерами, но позже специалисты обратили внимание на ряд ошибок, которые свойственны начинающим разработчикам вирусов.
Bachosens – это бэкдор, который позволяет получать постоянный доступ к системе. Распространение вредоносной программы осуществляется посредством рассылки спам-сообщений. Проводя анализ атак, специалисты Symantec обратили также внимание на кейлоггер, который, по словам экспертов, в ручном режиме устанавливался хакером на зараженное устройство.
В Bachosens для связи с командными серверами применяются протоколы DNS, ICMP и HTTP, а для того, чтобы создавать домены, используемые в качестве управляющих серверов, также задействуется генератор доменов.
Изучая код Bachosens и данные имени домена, исследователи выявили русскоязычного разработчика, который, вероятно, проживает в Тирасполе. Видимо, хакер связан с магазином автомобильных запчастей, поэтому проводил атаку на китайскую компанию, которая специализируется на этой сфере. Согласно информации Symantec, киберпреступник украл ПО для диагностики автомобилей, которое стоит 1100 долларов, и перепродавал его за 110 долларов.