Одна из крупнейших в мире троянских сетей может быть создана на базе вполне легального ПО. Речь идет о приложении Computrace от компании Absolute. О его потенциальной опасности предупреждают в "Лаборатории Касперского". Причем программа эта — как ни парадоксально — является защитной — она позволяет пользователю получить принудительный удаленный доступ к своему компьютеру, если он, например, украден.
Прямо в ходе презентации эксперты Касперского с помощью Computrace сумели удаленно запустить камеру на ноутбуке одного их своих сотрудников, а после и вовсе "снести" с него систему. Надо ли говорить, что приложение может также перехватывать любые данные. Словом, действует как обыкновенный троянец — следит за жертвой. С той лишь разницей, что жертва в данном случае — преступник, а вся собранная информация отправляется на серверы Absolute, откуда потом передается в компетентные органы.
В принципе, еще в 2009 году, когда приложение только появилось, большинство антивирусов с ним "конфликтовали", вполне справедливо опознавая Computrace как "червя". Но программу удалось сертифицировать, и сейчас она у борцов с вирусами — в "белом списке". Более того, предустанавливается на множество PC-ноутбуков. Если у вас лэптоп от Lenovo, HP, Dell, Fujitsu, Panasonic, Toshiba или Asus — с большой вероятностью, Computrace установлен и на вашем компьютере. Просто для того, чтобы заработать, ему нужно получить разрешение пользователя.
Однако не так давно Computrace вдруг стала проявлять себя на компьютерах, пользователи которых абсолютно уверены, что никогда ее не запускали. Причем, вела себя программа довольно странно. "Он внедряется в память других процессов, запускает в скрытом режиме Internet Explorer, от его имени пытается обойти фаерволл и присоединиться к центру управления, — поясняет специалист. — Ну, то есть, много, там целый букет различных технологий, распространенных во вредоносном коде".
Несанкционированный сбор данных — уже сам по себе экспертов насторожил. Впрочем, пока информация идет лишь на серверы Absolute, которые гарантируют их безопасность, и не попадает на сторону, вроде бы все не так плохо. Но оказалось, что данные эти передаются по открытым каналам связи — в некодированном виде. "Оказалось, что этот продукт имеет в себе уязвимости, — говорит эксперт. — Он не использует шифрования и должной авторизации сервера, с которым общается. Соответственно, если атакующий находится с вами в одной локальной сети, это проще простого для атакующего, чтобы получить полный контроль над вашей системой, применяя технику атаки "Человек посередине". Если мы говорим о более продвинутых атакующих, которые способны контролировать каналы целого государства и организаций, просматривать и менять трафик, то все компьютеры, на которых работает этот агент, контроль над ними может быть перехвачен, и они могут быть уничтожены в любой момент".
Тут надо отметить еще одну особенность программы. Будучи однажды установленной, она прописывает себя в BIOS и удалить оттуда ее крайне сложно, даже если о ней знать. Эксперты Касперского обратились в Absolute за объяснениями некорректной работы Computrace. "Мы попробовали связаться с компанией Absolute и спросить, а кто, собственно, активировал эти модули, дав им серийные номера оборудования, на котором мы их нашли, — сообщили в "Лаборатории Касперского". — Они сказали, что это оборудование не числится в их базе данных. Что никто этот модуль не активировал, в соответствии с их данными. Как они там появились — остается загадкой. Кто, как, и почему их активировал — неясно".
Что это за феномен, неизвестно — либо выдумка, попытка компании Computrace отстраниться от слежки за пользователями, либо действительно имеет место некая третья сторона, которая держит всех клиентов Absolute под колпаком. Впрочем, с точки зрения потребителя, оба варианта одинаково плохи. Учитывая то, что Computrace есть едва ли не на каждом проданном PC, масштабы потенциальной шпионской сети трудно даже представить.
