A napokban az ESET egy igen érdekes felfedezéssel rukkolt elő. Szakembereik lelepleztek egy olyan számítógépes kártevőt, amelyet gyaníthatóan ipari kémkedésre hoztak létre.
Az ESET Live Grid (az ESET ThreatSense.Net következő generációs változata) egy korszerű, megbízhatósági értékeléseken alapuló figyelmeztető rendszer, amely képes már korai fázisukban észlelni a terjedő kártevőket. A felhőben található kártevőadatok valós idejű letöltése révén az ESET víruslaborja folyamatosan frissen tudja tartani a védelmet, és állandó védelmi szintet képes nyújtani. A Live Grid egyszerűen fogalmazva annyit tesz, hogy a gépünkön lévő fájlok méretét és Hash-ét összehasonlítja több millió felhasználó azonos fájljával és ha nagy számú felhasználónak van ilyen, akkor az az ő szűrője szerint biztonságosnak tekinthető. Pontosan ez segítette a leleplezést, mivel az ESET víruslabor munkatársai a perui adatokban jelentős eltéréseket észleltek. A begyűjtött mintákból aztán egyértelműen sikerült azonosítani, hogy az ACAD/Medre.A féreg a számítógéppel segített tervezés egyik legismertebb eszközének, a Magyarországon is széles körben használt AutoCAD rajzállományok ellopására, illetve ezek e-mailben Kínába való továbbítására lett kifejlesztve. Az ESET kutatói felvették a kapcsolatot az ügyben érintett Tencent nevű kínai internetszolgáltatóval, a kínai CERT-tel (Chinese National Computer Virus Emergency Response Center) és magával az AutoDesk céggel is, aki az AutoCAD programot fejlesztette és forgalmazza világszerte. A vizsgálatok szerint több tízezer rajzot sikerült már a kártevőnek ellopni, ezek döntő többsége perui számítógépekről került illetéktelen kezekbe, a különböző országok érintettsége az incidensben a mellékelt ábrán látható.
Az ESET igyekezett minden tőle telhetőt megtenni, így a cégekkel való közvetlen kapcsolatfelvételen, és a kártevő felismerésen túl közzétettek egy, az AutoCAD-hez való ingyenes önálló mentesítő segédprogramot is. "Először az tűnt fel, hogy az ACAD/Medre.A AutoCAD-es rajzokat próbál meg küldözgetni egy kínai szolgáltató 163.com című oldalára, ami egyértelműen egy súlyos ipari kémkedés gyanúját veti fel. A fertőzött gépeken az AutoCAD 14.0 és 19.2 közötti verzió használata (AutoCAD 2000-től egészen az AutoCAD 2015-ig) esetén minden egyes újabb létrehozott .DWG kiterjesztésű rajzállományt továbbít a kártevő a kínai szerverekre. Maga a fertőzés az AutoLISP acad.lsp indítóállományát támadja meg. Mondani sem kell, ez a módszer a szellemi termékek létrehozói és jogos tulajdonosai számára milyen kellemetlen, de tovább gondolva a szabadalmi eljárások intézése kapcsán is okozhat további problémát az, ha még a termelés megkezdése előtt a bűnözők hozzáférhetnek különféle, akár stratégiai fontosságú tervekhez. "Az sem elképzelhetetlen, hogy az eredeti szellemi tulajdonosok helyett majd a jogbitorló tolvajok fognak elsőként a szabadalmi hivatalhoz fordulni" - nyilatkozta Righard Zwienenberg, az ESET főmunkatársa. Az ESET folyamatosan kapcsolatban áll a perui hatóságokkal a további nyomozás segítésében.
Bár a kimutatásban nem szerepel Magyarország, hanem zömmel további latin-amerikai országok, azért itt is érdemes odafigyelni, hiszen a vírusok nem állnak meg az országhatároknál, és az AutoCAD termékei hazánkban is népszerűek, illetve széles körben elterjedtek. Egy ilyen incidens az ipar minden területen beláthatatlan károkat okozhat. A gépek ellenőrzése során a vírusirtó használata mellett árulkodó jel lehet az is, hogy a rajzállományokat tartalmazó mappáinkban "acad.fas" illetve "cad.fas" nevű állományokat találunk. Erősen gyanítható, hogy az említett kártevő kifejezetten ipari kémkedés céljából lett létrehozva, és igen fontos, hogy a további károkozást mihamarabb megakadályozzák. Szerencsére az említett partnerek - a Tencent ISP, a kínai CERT valamint az AutoDesk is mindent megtettek az incidens részletes tisztázása, és a kártékony weboldalak lekapcsolása érdekében.
Az ACAD/Medre.A féregről további részletes információkat találhatunk az angol nyelvű ESET Threat Center Blogjában az alábbi linkeken:
http://blog.eset.com/2012/06/21/acadmedre-10000s-of-autocad-files-leaked-in-suspected-industrial-espionage
http://blog.eset.com/2012/06/21/acadmedre-a-technical-analysis-2
Magát az ingyenes mentesítő segédprogramot pedig a http://download.eset.com/special/EACADMedreCleaner.exe címen lehet letölteni.
