Tervezőktől lopott ötleteket a kémprogram

A felfedezést az ESET Live Grid (az ESET ThreatSense.Net következő generációs változata) segítette, amely korszerű, megbízhatósági értékeléseken alapuló figyelmeztető rendszer, aki képes már korai fázisukban észlelni a számítógépeken terjedő kártevőket. A felhőben található kártevőadatok valós idejű letöltése révén az ESET víruslaborja folyamatosan frissen tudja tartani a védelmet, és állandó védelmi szintet képes nyújtani. A Live Grid annyit tesz, hogy a gépünkön lévő fájlok méretét és Hash-ét összehasonlítja több millió felhasználó azonos fájljával, és ha nagyszámú felhasználónak van ilyen, akkor szűrője szerint az adott fájl biztonságosnak tekinthető. Pontosan ez segítette a leleplezést, mikor is az ESET víruslabor munkatársai a perui adatokban jelentős eltéréseket észleltek. A begyűjtött mintákból egyértelműen sikerült azonosítani, hogy az ACAD/Medre. A féreg a számítógépes tervezés egyik legismertebb eszközének, a Magyarországon is széles körben használt AutoCAD rajzállományok ellopására, illetve ezek e-mailben Kínába való továbbküldésére jött létre. Az ESET kutatói felvették a kapcsolatot az ügyben érintett Tencent nevű kínai internetszolgáltatóval, a kínai CERT-tel (Chinese National Computer Virus Emergency Response Center) és magával az AutoDesk céggel is, aki az AutoCAD programot fejlesztette és forgalmazza. A vizsgálatok szerint több tízezer rajzot sikerült már a kártevőnek ellopnia, ezek döntő többsége perui számítógépekről került illetéktelen kezekbe.

Az ESET igyekezett minden tőle telhetőt megtenni, ezért haladéktalanul felvette a kapcsolatot az érintett cégekkel, továbbá közzétettek egy az AutoCAD-hez való ingyenes önálló mentesítő segédprogramot is.

– Először az tűnt fel, hogy az ACAD/Medre.A AutoCAD-es rajzokat próbál meg küldözgetni egy kínai szolgáltató 163.com című oldalára, ami egyértelműen egy súlyos ipari kémkedés gyanúját veti fel. A fertőzött gépeken az AutoCAD 14.0 és 19.2 közötti verzió használata (AutoCAD 2000-től egészen az AutoCAD 2015-ig) esetén, a kártevő a kínai szerverekre továbbítja minden egyes újonnan létrehozott .DWG kiterjesztésű rajzállományt. Maga a fertőzés az AutoLISP acad.lsp indítóállományát támadja meg. Mondani sem kell, ez a módszer a szellemi termékek létrehozói és jogos tulajdonosai számára milyen kellemetlen, de tovább gondolva a szabadalmi eljárások intézése kapcsán is okozhat komoly problémát az, ha még a termelés megkezdése előtt a bűnözők hozzáférhetnek különféle, akár stratégiai fontosságú tervekhez. Az sem elképzelhetetlen, hogy az eredeti szellemi tulajdonosok helyett majd a jogbitorló tolvajok fognak elsőként a szabadalmi hivatalhoz fordulni – nyilatkozta Righard Zwienenberg, az ESET főmunkatársa. Az ESET folyamatosan kapcsolatban áll a perui hatóságokkal a további nyomozás segítésében.

Bár a kimutatásban nem szerepel Magyarország, itthon is érdemes résen lenni, hiszen a vírusok nem állnak meg az országhatároknál, és az AutoCAD termékei hazánkban is népszerűek.

– Egy ilyen incidens az ipar minden területen beláthatatlan károkat okozhat – emelte ki az eset kapcsán Béres Péter, az ESET termékeit Magyarországon képviselő Sicontact Kft. vezető IT tanácsadója. A gépek ellenőrzése során a vírusirtó használata mellett árulkodó jel lehet az is, hogy a rajzállományokat tartalmazó mappáinkban “acad.fas” illetve “cad.fas” nevű állományokat találunk.