Выявлено успешное применение трояна-шифровальщика на языке Python
Стремительную хакерскую атаку с применением сценария на языке программирования Python выявила британская компания в области кибербезопасности Sophos, 5 октября сообщает американский портал новостей об информационных технологиях ZDNet.
Хакерская атака была нацелена на инфраструктуру виртуализации на базе VMware ESXi. В конечном итоге нападавшие применили троянскую программу на Python для шифрования виртуальных дисков атакуемой компании. Пострадавшую компанию в Sophos не назвали.
Злоумышленникам удалось взломать учетную запись программы удаленного управления TeamViewer, принадлежащую компании-жертве. Со взломанного компьютера был обнаружен уязвимый сервер ESXi. Задача оказалась достаточно простой, поскольку учетная запись пользователя на целевом компьютере обладала правами администратора корпоративного домена.
Выявленный сервер ESXi был некорректно настроен. На нем оказалась включена служба протокола SSH ESXi Shell. Через нее на сервер была установлена программа администрирования Bitvise. И уже далее сценарий на Python. Именно с его помощью был проведен анализ виртуальных машин и дисков, выключение виртуальных машин, выявление целей шифрования и другие действия.
Атака обладала двумя особенностями. Во-первых, для развертывания операции использовался внедренный сценарий на Python размером всего 6 Кб, но с большим функционалом. Во-вторых, от взлома учетной записи TeamViewer до проникновения в корпоративную сеть потребовалось всего 10 минут. Еще три часа на все дальнейшие действия.
Исследователь Sophos Эндрю Брандт отметил, что Python не был замечен ранее в качестве инструмента для создания троянов-шифровальщиков. Однако наличие интерпретатора в большинстве операционных систем семейства Linux и компактный размер сценария на интерпретируемом языке делает его удобным средством. Кроме того, отметил он, серверы виртуализации становятся все более привлекательными целями для злоумышленников, поскольку успешная атака откроет доступ сразу к нескольким виртуальным серверам компании-жертвы.