Китайцы создали вирус для Windows 10, который сохраняется даже после переустановки системы

Специалисты Kaspersky Lab рассказал о новой китайской хакерской группе, которая атаковала высокопоставленные лица в Юго-Восточной Азии как минимум с июля 2020 года. Она использовала очень сложные инструменты, которые могли работать с Windows 10.

Группу назвали GhostEmperor. Хакеры часто пытались получить долгосрочный доступ к компьютерам жертв через руткит, способный работать на Windows 10. Вредоносному удавалось оставаться незамеченным месяцы.

Специалисты выяснили, что хакеры использовали эксплойты для серверов Apache, Oracle и Microsoft Exchange, чтобы взломать сети, близкие к целевой. Затем группа переключилась на более чувствительные системы внутри сети жертвы. GhostEmperor использовал набор различных скриптов и инструментов для развёртывания бэкдоров в целевой сети. Бэкдоры затем применялись для загрузки инструмента Cheat Engine. Это помогало обходить функции безопасности Windows PatchGuard и устанавливать руткит в ОС.

Исследователи заявили, что руткит, получивший название Demodex, был чрезвычайно продвинутым и позволял группе сохранять доступ к устройству жертвы даже после переустановки системы.

Специалисты «Лаборатории Касперского» не раскрыли, на кого именно охотилась группа. Они сказали лишь, что GhostEmperor преследовала правительственные учреждения и телекоммуникационные компании в Юго-Восточной Азии (Малайзия, Таиланд, Вьетнам и Индонезия), а также в Египте, Афганистане и Эфиопии.