Китайцы создали вирус для Windows 10, который сохраняется даже после переустановки системы
Атаковали им высокопоставленных лицГруппу назвали GhostEmperor. Хакеры часто пытались получить долгосрочный доступ к компьютерам жертв через руткит, способный работать на Windows 10. Вредоносному удавалось оставаться незамеченным месяцы.
Специалисты выяснили, что хакеры использовали эксплойты для серверов Apache, Oracle и Microsoft Exchange, чтобы взломать сети, близкие к целевой. Затем группа переключилась на более чувствительные системы внутри сети жертвы. GhostEmperor использовал набор различных скриптов и инструментов для развёртывания бэкдоров в целевой сети. Бэкдоры затем применялись для загрузки инструмента Cheat Engine. Это помогало обходить функции безопасности Windows PatchGuard и устанавливать руткит в ОС.
Исследователи заявили, что руткит, получивший название Demodex, был чрезвычайно продвинутым и позволял группе сохранять доступ к устройству жертвы даже после переустановки системы.
Специалисты «Лаборатории Касперского» не раскрыли, на кого именно охотилась группа. Они сказали лишь, что GhostEmperor преследовала правительственные учреждения и телекоммуникационные компании в Юго-Восточной Азии (Малайзия, Таиланд, Вьетнам и Индонезия), а также в Египте, Афганистане и Эфиопии.