Есть ли вредоносные закладки в операционной системе Windows?

Аватар пользователя Елена Гордеева

Никогда не писала на Афтершоке о своем профессиональном опыте, хотя иногда комментировала статьи коллег. Но то, что произошло в моей жизни три с небольшим недели назад, стало поводом для написания этой статьи. Постараюсь максимально не использовать компьютерные термины и слэнги, чтобы текст был понятен читателям без специального образования.

Я не буду агитировать за использование российского программного обеспечения: слава Богу это сейчас государственная политика. Но вместе с тем в государственных и корпоративных автоматизированных системах сейчас все еще используется Windows. И это понятно - переход на российские решения требует и времени и денег.

В моей компании мы уже семь лет ведем разработки только на Линуксе (сейчас Астра Линуксе). Но остались унаследованные системы на Windows, которые еще используются у клиентов. По этой причине мы их поддерживаем. Работу ведем на собственных серверах, которые по старинке управляются Windows. На них развернута сеть виртуальных серверов под российской Астра Линукс. Также есть несколько унаследованных виртуальных серверов на Windows - они нужны для поддержки эксплуатируемых у клиентов систем. Все это защищено ключами Минцифры, антивирусами  и компонентами информационной безопасности.

Так вот, в печальный понедельник 20 ноября у нас произошел компьютерный сбой, с которым я ранее в своей практике не встречалась. Вредоносная программа захватила управление системой компании, назначив себе высшие административные права. Мы спохватились вовремя - выдернули провода и отключили все рабочие станции, а также Интернет. Эти кардинальные меры позволили нам не навредить через Интернет другим, прежде всего нашим клиентам, и обезопасить рабочие станции, на которых (по старинке) ведется разработка.

Итак, в захваченной вредоносной программой компьютерной сети осталось 6 серверов и компьютер системного администратора. Не буду подробно рассказывать о том, как мы справились с ситуацией, потому что не для этого пишу статью. Скажу только, что в основном сейчас все восстановлено и продолжается штатная работа.

Но хочу рассказать о самой вредоносной программе - она начала стирать все, до чего могла дотянуться. Виртуальные сервера Windows были уничтожены полностью вместе с серверами гарантированных копий данных. А вот с российским Астра Линуксом этот "монстр" не справился: вредоносная программа смогла захватить управление только дисками серверов, на которых размещались российские виртуальные сервера. Я наблюдала за действиями этого монстра - это достаточно интеллектуальная вредоносная программа. Она собрала данные о системе и запланировала свои действия так, чтобы причинить максимальный вред. Из этого я делаю вывод о том, что этот монстр занимает значительный размер памяти.

И еще. Время от времени этот монстр посылал нам послания на английском языке с матом (английским) с проклятиями к россиянам и нашему Президенту. Такие некрасивые и гадкие тексты.

Но меня мучает один вопрос: как она к нам проникла через все компоненты информационной безопасности? Я не верю в человеческий фактор. Объем программы большой, а значит и не через почту. И остается только одно - это вредоносная ЗАКЛАДКА самой Windows, которая была активирована по команде из вне.

От коллег знаю о том, что за прошедший месяц подобные сбой произошли в некоторых государственных и корпоративных системах.

После этого ужаса мы работаем над переходом на систему управления, включая виртуальные сервера, под Линуксом. Именно в этой части опыта в России немного, но мы будем очень стараться и перейдем в ближайший квартал или два.

Microsoft ушел из России, но вероятно каждый сталкивался с тем, что даже на домашнем компьютере Windows периодически и очень настойчиво предлагает установить обновления через Интернет.  Могу вам только сказать - ОСТЕРЕГАЙТЕСЬ обновлений.

И для себя решила - пробовать с Нового года и свои рабочие станции переводить на Линукс. Даже если первое время это и будет неудобно и напряжно.

Авторство: 
Авторская работа / переводика
Комментарий автора: 

Коллеги! Благодарю за комментарии.

Я не ставила целью ничего рекламировать, просто описала реальный случай из жизни. Дело в том, что по позиции - я менеджер (владелица компании) и мне сложно комментировать на языке системных администраторов. Там в статье много специальных комментариев, люди пишут о том, что я неправа и закладок в Windows нет. Но меня их доводы не убедили.

Про технические детали скажу следующее. Я в бизнесе 33 года, но такого кошмара не видела ни разу. У нас были и вирусы, и шифровальщики, и взломы через аккаунты с простым паролем. Но в этот раз  было что-то особенное. Виртуальные сервера под Windows повреждены и восстанавливаемся из копий - месячной давности. А вот виртуальные сервера под Астра Линукс пострадали физически - вредоносная программа захватила диски и стала все стирать. Но мы штатными средствами сумели восстановить сервера, сохранить информацию  на отдельные диски - сохраняли по зараженному фрагменту сети. Потом, после жесткого форматирования всех 6-ти серверов мы с этих сохраненных дисков и восстанавливали сервера под российской ОС. То есть вредоносная программа не смогла разрушить или исказить файлы под Астра Линукс. И мы восстановились без каких-либо потерь. Это меня поразило и я решила написать статью.

Комментарии

Аватар пользователя ИЮЛь Майский
ИЮЛь Майский(8 лет 9 месяцев)

И остается только одно - это вредоносная ЗАКЛАДКА самой Windows, которая была активирована по команде из вне.

А кто-то из ваших работников не мог воткнуть флэшку или ХДД?

Аватар пользователя Елена Гордеева

Я уже писала, что исключаю человеческий фактор. И в этом случае эта "гадость" оказалась бы на одной из рабочих станций - а ее там нет.

Аватар пользователя alexsword
alexsword(13 лет 1 месяц)

Предположение - мать всех проколов.

Я бы все же исследовал этот фактор одним из первых.  Мало ли, на кого и какие рычаги давления смогли найти, чем шантажировать или мотивировать.   Посмотрите, сколько терактов на железных дорогах.   IT инфраструктура ничем не отличается.  

Аватар пользователя Vneroznikov
Vneroznikov(12 лет 11 месяцев)

Именно так. Работа для первого отдела.

Аватар пользователя BapBap
BapBap(10 лет 3 месяца)

Запрет флешек на программном уровне - проще простого.  Везде есть

Аватар пользователя Vneroznikov
Vneroznikov(12 лет 11 месяцев)

В нормальных местах гнезда ещё и заклеивают одноразовыми пломбами-наклейками.

Аватар пользователя Emp_IL
Emp_IL(9 лет 7 месяцев)

СЗЗ?!winking-face_1f609.png

Аватар пользователя Goga
Goga(10 лет 2 месяца)

Мы вот такие используем

Очень неплохие результаты несмотря на простоту устройства.

Правда ценник - ого!

Аватар пользователя Said232
Said232(3 года 7 месяцев)

был..

сначала "оттуда" все свои компы с таким поставляли - мне понравилось и я на остальные заказал.. много..

но всё равно не хватило - и буквально месяц назад связываюсь с теми-же поставщиками у которых брал - есть на складе но в Россию не поставляем.. пичалька , придется детскому садику казахскому иль турецкому заказывать..

Аватар пользователя andervish
andervish(12 лет 8 месяцев)

Пояс верности безопасности, получается.

Аватар пользователя доктор Борменталь

и как это поможет?

Аватар пользователя ИЮЛь Майский
ИЮЛь Майский(8 лет 9 месяцев)

Запрет флешек на программном уровне - проще простого.  Везде есть

Программный запрет вызовет программный обход запрета. 

Аватар пользователя Galogen999
Galogen999(8 лет 10 месяцев)

Запрет должен обеспечиваться отечественным продуктом. Тогда есть не плохой шанс, что все будет нормально. 

Аватар пользователя Елена Гордеева

Там в защищенных версиях Астра Линукса обновление идет с электронными подписями обеих сторон и проверкой контрольных сумм.

Аватар пользователя Waldis
Waldis(2 года 11 месяцев)

Проводок — кусь.

И всё.

Аватар пользователя neznayka
neznayka(8 лет 6 месяцев)

какой проводок, если разъём непосредственно на материнке впаян?

Аватар пользователя И-23
И-23(9 лет 2 месяца)

Практика показывает, что оно совсем не так тривиально, как представляется некоторым (по мотивам личного опыта *выборочной* верификации базы ада с добытыми в процессе… нюансами).

Аватар пользователя auslander
auslander(8 лет 2 недели)

А что флегки единственный способ занести малвэр? Ха ха ха

Аватар пользователя mumpster
mumpster(5 лет 11 месяцев)

нет конечно. способов масса.

но линукс тоже можно положить. через BVP, например, доступ поулчить, а там дальше хоть пач Бармина применяй ;-).

Аватар пользователя Дым Похрен
Дым Похрен(2 года 7 месяцев)

Разделяю Ваше мнение. Особенно в свете того, что у "небратьев" IT сфера  по-моему развита несколько лучше. Там программирование и связанное с этим - едва не единственный доступный вариант, чтобы  "выбиться в люди", и этим занимаются очень многие. В том числе работая удалённо на крупные IT-компании. Поэтому вариант, что кто-то из сотрудников, имеющих доступ к системе,  принёс вирус на условной флешке, стоит отрабатывать в первую очередь. А какие у него были мотивы - шантаж извне или корысть, второстепенно.

Аватар пользователя ВедЪ
ВедЪ(1 год 11 месяцев)

Винда давно уже исследована и переисследована нашими спецами (в том числе из НПО Криста), закладок и портов для утечек в ней пруд пруди как явных, так и скрытых. При чём, чем новее версия винды, тем их (закладок) больше.  То есть в 7й винде, насколько я помню около 12 дырок, то в 10й винде уже около 30ти дыр через которые можно сливать инфу о пользователе и его местоположении (не по геолокации конечно, я про местоположение в сети). Собственно почему и пытаются запилить свою операционку, хоть и на базе Линукса, хоть он тоже не без дырочек.

Аватар пользователя Елена Гордеева

Мы провели необходимые исследования - сработала закладка операционной системы, установленная на компьютер штатными средствами вместе с ОС.

Аватар пользователя utx
utx(8 лет 11 месяцев)

Из утянутого с торента образа винды ?

Аватар пользователя MrK
MrK(3 года 5 месяцев)

И где вы Елена Гордеева ru.svg изложили результаты ваших исследований, с подробным описанием закладки?

Ведь это очень важно.

Если закладка действительно существует, то под угрозой все российские компьютеры с Windows.

Аватар пользователя Елена Гордеева

Мы исследовали конкретную ситуацию - это не научная аналитика. И да, по моему мнению, под угрозой все компьютеры с Windows в России.

Аватар пользователя MrK
MrK(3 года 5 месяцев)

Мы исследовали конкретную ситуацию

И что вы сделали с результатами исследований?

Передали ли специалистам Лабаратории Касперского или Dr Web?

Опубликовали в специализированных изданиях, чтобы все заинтересованные специалисты могли с ними ознакомиться и предотвратить деструктивную работу "закладки"?

Аватар пользователя Елена Гордеева

Повторюсь, я не претендую на научную аналитику, тем более на оформление результатов и их передачу третьим лицам.

Аватар пользователя MrK
MrK(3 года 5 месяцев)

я не претендую на научную аналитику, тем более на оформление результатов и их передачу третьим лицам.

А вот это совершенно не понятно.

Вопрос то серьезный. Речь идет о безопасности использования операционной системы в масштабах страны. А вы не хотите поделиться результатами.

Очень странная. Можно даже сказать безответственная позиция с вашей стороны

Аватар пользователя Елена Гордеева

Понимаю. Я написала эту статью с целью проиллюстрировать поведение Windows в критичной ситуации. И как смогла, так и поделилась личным опытом. А серьезные исследования в масштабах страны должны организовываться Минцифры.

Аватар пользователя MrK
MrK(3 года 5 месяцев)

Тон этого вашего комментария

Я написала эту статью с целью проиллюстрировать поведение Windows в критичной ситуации. И как смогла, так и поделилась личным опытом. А серьезные исследования...

в корне отличается от содержания публикации в целом.

В публикации вы делаете однозначный вывод - вредоносная ЗАКЛАДКА самой Windows

И остается только одно - это вредоносная ЗАКЛАДКА самой Windows, которая была активирована по команде из вне.

а в вашем нынешнем комментарии это превращается

поведение Windows в критичной ситуации

Так что же было на самом деле: закладка или "поведение" ?

Аватар пользователя Елена Гордеева

Я в конце заголовка поставила знак вопроса. Это говорит о том, что я допускаю в поднятой теме неопределенность.

Но мое оценочное мнение - да, в операционной системе Windows есть закладки.

Аватар пользователя MrK
MrK(3 года 5 месяцев)

Я в конце заголовка поставила знак вопроса. Это говорит о том, что я допускаю в поднятой теме неопределенность.

Это один из приемов изложения(и вам Елена Гордеева , как писательнице(вы сами себя так охарактеризовали) он должен быть хорошо известен): в заголовке ставится проблема, а в тексте она раскрывается с обоснованием

вы так и поступили:

в заголовке спросили

Есть ли вредоносные закладки в операционной системе Windows?

а в тексте однозначно ответили

И остается только одно - это вредоносная ЗАКЛАДКА самой Windows, которая была активирована по команде из вне.

а в комментарии еще раз подтвердили

Но мое оценочное мнение - да, в операционной системе Windows есть закладки.

только вот снова маленькая нестыковочка

теперь вы говорите: мое оценочное мнение

А в предыдущем комментарии было мнение другое, причем мнение коллектива. И однозначное - закладка

Мы провели необходимые исследования - сработала закладка операционной системы, установленная на компьютер штатными средствами вместе с ОС.

https://aftershock.news/?q=comment/15726310#comment-15726310

Так что же на самом деле произошло в компании, от имени которой вы написали публикацию

 

Аватар пользователя Елена Гордеева

Нет, я поставила вопрос и в общем смысле его не снимаю. Мое оценочное мнение - это далеко не истина в последней инстанции.

Но я действительно за последние 2 года написала два романа - как теперь понимаю: они достаточно объемные. Сейчас пишу третий.

Аватар пользователя MrK
MrK(3 года 5 месяцев)

Нет, я поставила вопрос и в общем смысле его не снимаю. Мое оценочное мнение - это далеко не истина в последней инстанции.

Вы бы поосторожнее высказывались.

Ведь вас найти не сложно. И вчинить иск тоже легко. А иск может быть значительным

Аватар пользователя Елена Гордеева

Оценочное мнение не является основанием для иска в России.

Аватар пользователя MrK
MrK(3 года 5 месяцев)

Э, правовая безграмотность

О терапевте оставили негативный отзыв. Врач посчитала, что сообщение порочит её деловую репутацию и подала в суд на предполагаемого автора сообщения и учредителя сайта. Эксперты отмечают, что в таких делах суды часто отказывают в иске. Они приходят к выводу, что отклик — это всего лишь мнение пользователя, поэтому его нельзя проверить. Так произошло и в этом случае. Но ВС указал, что в одном высказывании может содержаться одновременно и мнение, и утверждения о фактах. Юристы считают, что этим ВС предоставил дополнительный инструмент для защиты репутации.

https://pravo.ru/story/246416/

и вообще читайте https://ya.ru/search/?text=%D1%8E%D1%80%D0%B8%D0%B4%D0%B8%D1%87%D0%B5%D1%81%D0%BA%D0%B0%D1%8F+%D0%BE%D1%82%D0%B2%D0%B5%D1%82%D1%81%D1%82%D0%B2%D0%B5%D0%BD%D0%BD%D0%BE%D1%81%D1%8C+%D0%B7%D0%B0+%D0%BE%D1%86%D0%B5%D0%BD%D0%BE%D1%87%D0%BD%D0%BE%D0%B5+%D0%BC%D0%BD%D0%B5%D0%BD%D0%B8%D0%B5&lr=20728&search_source=yaru_desktop_common&search_domain=yaru

Аватар пользователя Елена Гордеева

Возможно, я поговорю со своим юристом. У меня нет юридического образования.

Аватар пользователя somebody15
somebody15(9 лет 5 месяцев)

Мы фактически в условиях войны. Профилактика кибербезопасности - это сфера интересов безопасности общества и государства, игнорирование которых уже пару лет как по закону является уголовно наказуемым. Вы справились с вторжением вражеского малвара - честь вам и хвала. Но оставлять весь остальной российский АйТи рынок с голой... дыркой, из-за какой-то непонятно ложной скромности - может вам дорого обойтись в плане встречи с этим самым законодательством и деятельностью исполняющих его компетентных органов.

Я понимаю если вы уже с ними столнкулись, дали подписку, но молчать не можете и поэтому делитесь тем, что в рамки этой подписки не входит. Ну так сразу и скажите. А то вот это "не претендую" при том что вы "в бизнесе 30 лет" - выглядит странно.

Аватар пользователя Елена Гордеева

Да, мы сейчас уже окончательно справились. Я с понедельника лично перехожу на Астра Линукс Орел - если чего-то хочешь достичь в компании: начинай с себя.

Я по функциональной позиции менеджер и аналитик, поэтому то, что я могла описать, то есть то, чему сама была свидетелем, я здесь подробно описала. Постаралась резюмировать в комментарии к статье, который написала спустя 3 дня после опубликования статьи.

Пожалуйста, перечитайте комментарий.

А по аналитике скажу следующее. Вывод о закладках я сделала на основе собственного эмпирического опыта. И написала, что это мое оценочное мнение (в том числе на основе интуиции).  Для аналитики нужен опыт с несколькими событиями, но у меня (слава Богу) его нет.

Аватар пользователя qwweer
qwweer(9 лет 3 месяца)

Винда, конечно, дырявая и человеческий факт вы зря полностью исключаете, но вот это 

Мы спохватились вовремя - выдернули провода и отключили все рабочие станции, а также Интернет.

Как бы намекает, что ваша система изначально была подключена к Интернет и открыта для атак.
Уязвимости «нулевого дня» события редкие, но не единичные, а если вы где-то подзадержались с обновлением - тем более. На линуксе они тоже бывают, кстати, хоть и реже. Опять же, раз все началось с виртуалок - уязвимость вообще могла быть в гипервизоре например. В общем, теперь, надеюсь, отселите винду в отдельную подсеть, желательно изолированную от интернет и никогда не будете ходить туда под именем и паролем главного сетевого администратора, ну и всякие другие выводы сделаете. Так что отделались малой кровью, можно сказать. Но валить всё на заложенную уязвимость винды не строит - по описанию не похоже что вы настолько крупная дичь, чтобы ради вас палить серьезные закладки. Были бы вы Иранской ядерной программой - тогда да.

Аватар пользователя freeman
freeman(10 лет 7 месяцев)

Винда дырява. Как и любой софт, не писанный лично вами. Процитирую самого Кена Томпсона, думаю многие знают, практически отца всех Юникс систем, в том числе и Линукс 

 Вы не можете доверять тому коду, который вы не создали полностью сами. В особенности коду от компаний, в которых работают такие люди как я. Никакая верификация исходников или проверка результатов не защитит вас от обманного кода.

Аватар пользователя Pavel_V
Pavel_V(12 лет 3 недели)

Лично я бы коду, написанному мною не доверял. 

Аватар пользователя Елена Гордеева

В России сейчас планомерно отказываются от Windows и переходят на российскую операционную систему - Астра Линукс или эквивалент.

Я с Вами согласна, что под раздачу конкретно мы (небольшая компания 25 человек) попали случайно.

Аватар пользователя cpr
cpr(9 лет 3 месяца)

ФИНЦЕРТ, Лаборатория Касперского получили отчеты?

Аватар пользователя freeman
freeman(10 лет 7 месяцев)

Работая в одном мегакрупном госбанке, мы тоже были наслышаны как нельзя тыкать свои флешки. 
но вот я, простой монтажник Скс в тот момент, имел доступ в любой кабинет банка, единственное место где за нами как то наблюдали, да и то в первые полчаса, это депозитарий. Серверная, кабинет начальника службы безопасности, вру, все было у нас в полном доступе. 
как то пропал хуавеевский модем бесшовного вай Фая, и это там, где сидит охрана банка, в подвале, не помню как зовётся, по моему киц. 
пытались спереть на нас, но у них был завхоз, бывший нач службы безопасности, который тащил все. И ему намекнули, ну у вас ведь наверняка сеть пишет логи, можно узнать в какое время модем дернули с сети, свяжитесь с Москвой, а далее дело техники, посмотреть кто входил в помещении. 
после этого претензии пропали, и модем по моему нашёлся. 
я это к тому, исключать ничего нельзя, правильно Алекс ты говоришь, имеет место воздействие с самой компании. 
 

Аватар пользователя Елена Гордеева

Я подумала над Вашими словами. Мне кажется, что отличается - как правило в современной ИТ-инфраструктуре в качестве основного компонента выступает операционная система Windows. Она и является потенциальной угрозой. Астра Линукс и системы на ней в процессе этой ужасной атаки повреждены не были.

Аватар пользователя Habana Club
Habana Club(7 лет 5 месяцев)

опыт подсказывает, что самая большая компьютерная уязвимость - это пользователь. 

Я считаю, искать проникновение "этой гадости" нужно с этой стороны. По крайней мере - исключать эту версию несколько самонадеянно.

Аватар пользователя rover
rover(5 лет 9 месяцев)

исключать эту версию несколько самонадеянно.

Во-во!

Аватар пользователя utx
utx(8 лет 11 месяцев)

Опыт показывает, что умные SA тянут трофейные образы с торентов, ставят хитрые прошивки с 4pda, а потом удивляются злобным вирусам.

Аватар пользователя evm11
evm11(12 лет 2 месяца)

Вот у нас у каждого ноутбук. Мы берем их также в командировки. Наши сис админы недавно выяснили, винда 10 научилась обходить запрет на обновления. То есть если взял ноут с собой и где-то подклбчился к друшой сети (ну там почту прочитать или еще чего) то винда впаривает тебе обновления без твоего ведома и желания.

Вот второй комп у меня на работе постоянно (с собой не беру) на нем нет обновлений, сервер отсекает.

А в любом другом случае, как только комп подлючил к другой сети, винда тут же тебе обновление вгоняет.

Страницы