Эксперты компании Damballa обнародовали отчет о том, каким образом хакеры в течение долгого времени остаются необнаруженными.
В течение 8 месяцев эксперты анализировали загрузчик Pony, который оснащен средствами для сокрытия киберпреступной активности. Оказалось, что хакеры пользовались лишь несколькими IP-адресами на каждого провайдера. Благодаря такой осторожности злоумышленники могли быть незамеченными на протяжении большого промежутка времени.
За время наблюдения хакерами использовался 281 домен и свыше 120 IP-адресов, относящихся к 100 разным провайдерам. Резкое увеличение соотношения доменов к IP-адресам происходило в сезон отпусков и зимних праздников.
Разновидность вредоносного программного обеспечения, загружаемого с помощью Pony, также менялась. В мае прошлого года Pony осуществлял распространение банковской троянской программы Dyre, однако спустя 4 месяца дроппер производил загрузку Vawtrak.
Также исследователями на примере троянской программы Destover были изучены способы сокрытия хакерской активности от сотрудников правоохранительных органов и экспертов в сфере информационной безопасности. Оказалось, что в ходе заражения компьютера вредоносной программой хакеры во избежание обнаружения и для расширения вектора атаки пользуются двумя утилитами: setMFT и afSET. В результате специалистам чаще всего не удается обнаружить ни троянскую программу, ни дополнительное программное обеспечение.