Вредоносная программа CONFUCIUS_A, используемая в двух разных шпионских кампаниях, обнаружена исследователями информационной безопасности из Palo Alto Network.
Особенность CONFUCIUS_A – это способ генерации IP-адреса командного сервера, к которому осуществляется подключение ботов. Чаще всего дешевые вредоносные программы используют IP-адреса, которые жестко прописаны в коде. Более дорогое программное обеспечение занимается генерацией IP-адресов командных серверов с применением сложных алгоритмов создания доменных имен.
Но CONFUCIUS_A не осуществляет генерацию трафика на известные вредоносные IP и не пользуется сложными алгоритмами создания доменных имен. В ходе анализа данных, передаваемых с инфицированных систем, не было обнаружено какой-либо аномалии. Эксперты зафиксировали только обычный HTTP-трафик, направленный на популярные сайты.
В ходе внимательного изучения активности вредоносной программы выяснилось, что хакеры пользовались Q&A секциями на сайтах Yahoo и Quora для того, чтобы передавать команды ботам. Первая разновидность вредоносной программы осуществляла поиск 2 маркеров на Q&A-страницах на сайтах Yahoo и Quora. Между этими маркерами находились по крайней мере 4 слова. Вредоносная программа осуществляла сканирование контента страницы, выбирала все слова между двумя маркерами и конвертировала их в IP-адрес с помощью специальной таблицы соответствий слов и цифр.
Программа CONFUCIUS_B действовала по такому же принципу, но применяла немного иной алгоритм преобразования слов в цифры.
Следует отметить, что вредоносная программа CONFUCIUS_A использовалась в 2013 году в ходе атак на ресурсы государственных органов Пакистана. CONFUCIUS_B является более новой программой, которую применяют в рамках кибернападений хакеры из Patchwork.
Эксперты в сфере информационной безопасности, которые занимались исследованием обоих инцидентов, считают, что хакеры проводили свои атаки с индийской территории.