Elektroniczny szpieg wykrada szkice i projekty stworzone w AutoCAD
Firma Eset przechwyciła i zbadała zagrożenie ACAD/Medre.A, które zainfekowało kilkadziesiąt tysięcy plików stworzonych za pomocą programów AutoCAD - aplikacji przeznaczonych do zaawansowanego projektowania graficznego. Robak najprawdopodobniej powstał jako narzędzie szpiegujące - wszystkie zainfekowane pliki trafiały do Chin!
Zagrożenie ACAD/Medre.A wykazało niezwykłą aktywność w Peru, gdzie zostało zauważone dzięki narzędziom Eset. Po dokładnej analizie okazało się, że zarażone robakiem pliki były wysyłane na konta e-mail w Chinach (22 adresów pocztowych w domenie 163.com oraz 21 adresów w domenie qq.com).
Specjaliści, przy współpracy z chińskim dostawcą internetu Tencent, tamtejszym centrum reagowania na incydenty związane z atakami wirusów komputerowych oraz producentem oprogramowania AutoCAD, zablokowali transfer zainfekowanych plików do wspomnianych skrzynek mailowych. Większość infekcji wykryto w Peru i najprawdopodobniej to właśnie w celu szpiegowania tamtejszych firm powstał ACAD/Medre.A. Zagrożenie trafiło do przedsiębiorstw, które realizowały zamówienia dla sektora rządowego. O zagrożeniu poinformowane zostały władze Peru.
Na działanie robaka podatne są programy AutoCAD w wersjach od 14.0 do 19.2 (od AutoCAD 2000 do AutoCAD 2015) - robak modyfikuje plik acad.lsp, uruchamiany przy każdorazowym starcie programu. Eksperci podejrzewają, że ACAD/Medre.A będzie mógł skutecznie infekować również kolejne wersje programu AutoCAD.
- ACAD/Medre.A to poważny przypadek domniemanego szpiegostwa przemysłowego. Każdy nowy projekt, stworzony na zainfekowanym komputerze, był automatycznie przesyłany do twórcy zagrożenia. Nie trzeba chyba tłumaczyć z jakimi stratami finansowymi dla twórcy projektu może wiązać się sytuacja, w której cyberprzestępca zyskuje dostęp do szkicu, zanim ten wejdzie w fazę realizacji. Możliwa jest nawet sytuacja, w której cyberprzestępca, dzięki wykradzionym materiałom, zdobywa patent, zanim zrobi to prawowity twórca - podkreśla Righard Zwienenberg, starszy analityk zagrożeń firmy Eset.
Robak przedostaje się na komputer użytkownika zwykle w katalogu z plikiem o rozszerzeniu .dwg (format w jakim AutoCAD zapisuje projekty), jako ukryty zbiór acad.fas. Otwarcie projektu, któremu towarzyszy robak, powoduje aktywację i powiązanie zagrożenia z plikiem .dwg i skopiowanie ACAD/Medre.A do kilku różnych lokalizacji. Od tego momentu każde otwarcie nowego lub istniejącego pliku AutoCAD (.dwg) skutkuje skopiowaniem zagrożenia (acad.fas) do folderu, w których zapisywany jest projekt. Skopiowanie folderu z projektem i przeniesienie go na dysk innej maszyny sprawia, że w momencie otwarcia pliku .dwg infekowany jest kolejny komputer.