IT History Journal
February 17

17 февраля 2008 — Опубликована информация о трояне Mocmex, он был зашит в фоторамки

17 февраля 2008

17 февраля 2008 — Опубликована информация о трояне Mocmex, он был зашит в фоторамки

17 февраля 2008 года в газете Seattle Post-Intelligencer была опубликована подробная информация о новом и необычном вредоносном ПО под названием Mocmex.
Сначала казалось, что это просто очередной троян. Но довольно быстро стало понятно, что история куда серьёзнее. Mocmex стал одним из первых громких примеров заражения через цепочку поставок — задолго до того, как термин «supply chain attack» стал широко использоваться.

Как всё началось

История началась в начале 2008 года.
Пользователи покупали цифровые фоторамки — простые устройства, которые показывали фотографии с карты памяти или из внутренней памяти.
После подключения таких рамок к компьютерам с Windows через USB некоторые владельцы заметили странную активность. Антивирусы начали обнаруживать неизвестные файлы.
Это привлекло внимание специалистов по информационной безопасности.

17 февраля 2008 года

17 февраля 2008 года аналитики опубликовали технические подробности расследования. Вредоносная программа получила название Mocmex.
Выяснилось, что троян был заранее записан во внутреннюю память некоторых цифровых фоторамок ещё на этапе производства.
То есть заражение происходило в момент первого подключения устройства к компьютеру. Пользователь ничего не скачивал и не открывал — вредоносный код уже находился внутри купленного устройства.

Что делал Mocmex

Mocmex был не безобидной шуткой.
Троян пытался похищать учётные данные и конфиденциальную информацию с заражённых систем Windows. Кроме того, он загружал дополнительные вредоносные компоненты с удалённых серверов.
Исследователи отметили, что для 2008 года он использовал довольно продвинутые методы: шифрование, маскировку кода и попытки скрываться от антивирусов.

Кто расследовал инцидент

В расследовании участвовали несколько компаний в сфере кибербезопасности.
Одними из первых угрозу проанализировали специалисты McAfee Avert Labs. Позже другие исследовательские группы и антивирусные компании подтвердили выводы и опубликовали собственные отчёты.
Инцидент быстро получил огласку, потому что заражение происходило не через письмо, вложение или подозрительную ссылку. Источником угрозы оказалось обычное потребительское устройство.

Почему это важно

В 2008 году мысль о том, что вредоносное ПО может быть предустановлено на аппаратном устройстве прямо на заводе, звучала тревожно.
Сегодня такие атаки называют атаками на цепочку поставок. Тогда же это было редким и шокирующим случаем.
История Mocmex показала, что риски безопасности начинаются не только с ошибки пользователя. Иногда угроза уже встроена в продукт ещё до того, как он попадает в руки покупателя.
Спустя годы мир увидит куда более масштабные инциденты такого типа. Но Mocmex остаётся одним из ранних предупреждений.