Китайці створили вірус для Windows 10, який зберігається навіть після перевстановлення системи

Фахівці Kaspersky Lab розповів про нову китайську хакерську групу, яка атакувала високопоставлені особи в Південно-Східній Азії як мінімум з липня 2020 року. Вона використовувала дуже складні інструменти, які могли працювати з Windows 10.

Групу назвали GhostEmperor. Хакери часто намагалися отримати довгостроковий доступ до комп’ютерів жертв через руткіт, здатний працювати на Windows 10 шкідливих вдавалося залишатися непоміченим місяці.

Фахівці з’ясували, що хакери використовували експлойти для серверів Apache, Oracle і Microsoft Exchange, щоб зламати мережі, близькі до цільової. Потім група приділила свою увагу чутливі системи всередині мережі жертви. GhostEmperor використовував набір різних скриптів і інструментів для розгортання бекдор в цільової мережі. Бекдори потім застосовувалися для завантаження інструменту Cheat Engine. Це допомагало обходити функції безпеки Windows PatchGuard і встановлювати руткит в ОС.

Дослідники заявили, що руткіт, який отримав назву Demodex, був надзвичайно просунутим і дозволяв групі зберігати доступ до пристрою жертви навіть після переустановлення системи.

Фахівці «Лабораторії Касперського» не розкрили, на кого саме полювала група. Вони сказали лише, що GhostEmperor переслідувала урядові установи і телекомунікаційні компанії в Південно-Східній Азії (Малайзія, Таїланд, В’єтнам і Індонезія), а також в Єгипті, Афганістані та Ефіопії.