Elektroniczny szpieg wykrada szkice i projekty stworzone w AutoCAD

Zagrożenie ACAD/Medre.A wykazało niezwykłą aktywność w Peru, gdzie zostało zauważone dzięki systemowi reputacyjnemu Eset Live Grid. Po dokładnej analizie okazało się, że zarażone robakiem pliki były wysyłane na konta e-mail w Chinach (22 adresów pocztowych w domenie 163.com oraz 21 adresów w domenie qq.com).
Elektroniczny szpieg wykrada szkice i projekty stworzone w AutoCAD
Tylko jednego szpiega nie dało się zdemaskować

Tylko jednego szpiega nie dało się zdemaskować

Firma Eset, przy współpracy z chińskim dostawcą internetu Tencent, tamtejszym centrum reagowania na incydenty związane z atakami wirusów komputerowych oraz producentem oprogramowania AutoCAD, skutecznie zablokowała transfer zainfekowanych plików do wspomnianych skrzynek mailowych. Większość infekcji wykryto w Peru i najprawdopodobniej to właśnie w celu szpiegowania tamtejszych firm powstał ACAD/Medre.A. Zagrożenie trafiło do przedsiębiorstw, które realizowały zamówienia dla sektora rządowego. Firma Eset poinformowała o swoich spostrzeżeniach władze Peru.

Na działanie zagrożenia podatne są programy AutoCAD w wersjach od 14.0 do 19.2 (od AutoCAD 2000 do AutoCAD 2015) – robak modyfikuje plik acad.lsp, uruchamiany przy każdorazowym starcie programu. Eksperci Eset podejrzewają, że ACAD/Medre.A będzie mógł skutecznie infekować również kolejne wersje programu AutoCAD.

ACAD/Medre.A to poważny przypadek domniemanego szpiegostwa przemysłowego. Każdy nowy projekt, stworzony na zainfekowanym komputerze, był automatycznie przesyłany do twórcy zagrożenia. Nie trzeba chyba tłumaczyć z jakimi stratami finansowymi dla twórcy projektu może wiązać się sytuacja, w której cyberprzestępca zyskuje dostęp do szkicu, zanim ten wejdzie w fazę realizacji. Możliwa jest nawet sytuacja, w której cyberprzestępca, dzięki wykradzionym materiałom, zdobywa patent, zanim zrobi to prawowity twórca — podkreśla

Righard Zwienenberg, starszy analityk zagrożeń firmy Eset.

Robak przedostaje się na komputer użytkownika zwykle w katalogu z plikiem o rozszerzeniu.dwg (format w jakim AutoCAD zapisuje projekty), jako ukryty zbiór acad.fas. Otwarcie projektu, któremu towarzyszy robak, powoduje aktywację i powiązanie zagrożenia z plikiem.dwg i skopiowanie ACAD/Medre.A do kilku różnych lokalizacji. Od tego momentu każde otwarcie nowego lub istniejącego pliku AutoCAD (.dwg) skutkuje skopiowanie zagrożenia (acad.fas) do folderu, w których zapisywany jest projekt. Skopiowanie folderu z projektem i przeniesienie go na dysk innej maszyny sprawia, że w momencie otwarcia pliku.dwg infekowany jest kolejny komputer.

Zarówno NOD32 Antivirus jak i Smart Security chronią przed robakiem ACAD/Medre.A. Firma Eset przygotowała jednak bezpłatne narzędzie, dzięki któremu każdy potencjalnie zagrożony użytkownik może skutecznie zneutralizować ACAD/Medre.A. Szczepionkę można pobrać ze strony http://download.eset.com/special/EACADMedreCleaner.exe.