Неутомимому трояну, атакующему российскую оборонку, исполнилось 10 лет

10 лет исполняется трояну Bisonal, который по сей день атакует промышленные и оборонные предприятия в России и ряде стран, 5 марта сообщает компания в сфере кибербезопасности Talos Intelligence Group на своей официальной странице.

Исследователи отмечают, что Bisonal распространяется в среде Windows и направлен на атаки важных государственных и частных объектов в трех странах — России, Японии и Южной Корее.

С момента своего появления в 2010 году троян значительно эволюционировал. В начале он представлял из себя простую службу Windows, которая исполняла на компьютере команды злоумышленников из Интернета. В 2011 году троян научился удалять самого себя и следы своего присутствия. Через год троян маскировался под легальный код Windows и даже имитировал часть функций этой операционной системы. В 2013 году код трояна был исследован антивирусными компаниями и казалось, что он побежден.

В 2014 году злоумышленники выпустили версию трояна, перекодированную с помощью простого упаковщика, а в 2016 году они применили более сложный метод упаковки, чтобы надежней скрываться от антивирусов. Сам код стал намного более запутанным, с большим количеством бесполезных функций.

В 2018 году троян был обнаружен в файлах Acrobat PDF, Microsoft Word и Microsoft Excel. В начале года троян попал к партнеру российской компании «Ростех» под видом файла «Комплексный проект по строительству жилищно-строительных кооперативов для работников оборонки.pdf».

В 2019 году Bisonal научился использовать уязвимость в компоненте Microsoft Equation Editor от Microsoft Office и стал использовать технику, затрудняющую анализ через API VirusTotal.

Исследователи, много лет изучающие работу трояна, заявили, что не видят причин, по которым троян прекратит атаковать страны в ближайшем будущем. «Те, кто стоят за Bisonal, явно мотивированы искать жертв в России, Южной Корее и Японии», — заявили они.