Специалисты Центра кибербезопасности «РТК-Сервис» зафиксировали аномальную активность мессенджера WhatsApp*. Об этом CNews сообщили представители «РТК-Сервис».
В ходе анализа трафика выявлено, что приложение устанавливает скрытые соединения с серверами управления ботнетами (C&C) и пытается взаимодействовать с административными портами (22, 21) зарубежных хостов. Полученные данные свидетельствуют о том, что приложение устанавливает соединения с серверами управления ботнетами (Command & Control, C&C) и административными портами зарубежных хостов, что создает критические риски для корпоративной инфраструктуры.
Результаты технического анализа
Исследование проводилось для устройств на базе Android с использованием инструментов анализа трафика (PCAPdroid). В результате мониторинга выявлен специфический характер исходящих соединений, генерируемых мессенджером.
Коннекты на административные порты: зафиксированы обращения на порты 22 (SSH) и 21 (FTP) на внешние IP-адреса, расположенные за пределами Российской Федерации. Такая активность не является штатной для программного обеспечения класса обмена сообщениями и может свидетельствовать о попытках удаленного администрирования или передачи данных.
Взаимодействие с инфраструктурой ботнетов: с устройств, на которых установлен WhatsApp, наблюдаются регулярные коннекты на IP-адреса, внесенные в общедоступные базы данных как управляющие серверы ботнетов (C&C). Сети назначения при этом динамически меняются.
Характер угроз
Наличие таких соединений позволяет предположить, что устройства с установленным мессенджером потенциально могут находиться под управлением внешних серверов. В случае получения соответствующих привилегий злоумышленники получают возможность: удаленно собирать чувствительные данные с устройств; перемещаться по сегментированной сети организации; использовать зараженное устройство в качестве плацдарма для распространения вредоносного ПО на другие узлы корпоративной инфраструктуры.
Влияние на системы мониторинга безопасности
Центр кибербезопасности «РТК-Сервис» обращает внимание на эффект «размытия» границ между легитимной активностью приложения и реальными инцидентами ИБ. Исходящий трафик, характерный для WhatsApp, по своим сетевым сигнатурам, совпадает с поведением зараженных устройств (бэкдоров) и каналов управления ботнетами.
Это создает ситуацию, в которой штатные средства мониторинга логов и сетевого трафика теряют способность точно детектировать реальные вторжения. Массовое использование мессенджера в корпоративной среде делает невозможным качественную фильтрацию подозрительной активности без блокировки доступа для конечных устройств.
Меры по защите инфраструктуры
В сложившихся условиях для обеспечения безопасности корпоративной сети и предотвращения потенциального распространения вредоносного ПО Центр кибербезопасности рекомендует: пересмотреть необходимость использования WhatsApp*, в случаях, когда приложение не требуется для выполнения рабочих задач, удалить его с корпоративных устройств; ограничить фоновую активность, при подключении к корпоративной сети отключить работу мессенджера в фоновом режиме; провести диагностику устройств, выполнить сканирование с использованием актуальных антивирусных решений (например, Kaspersky Free) для проверки отсутствия вредоносного ПО, которое могло быть доставлено через описанные каналы.
*WhatsApp — принадлежит Meta, признанной в России экстремистской организацией и запрещенной на территории Российской Федерации
Поделиться
