7 de julio de 2017

La empresa Doctor Web contesta a acusaciones de la empresa Spargo Technologies y aclara los hechos detectados de espionaje industrial de farmacias rusas.

Cuando la empresa Doctor Web publicó los resultados de análisis del ataque objetivo a muchas redes de farmacias rusas y empresas farmacéuticas usando el programa nocivo de la familia BackDoor.Dande, en el sitio web oficial de Spargo Technologies S.A. fue publicado un mensaje diciendo que «la empresa DrWeb», violando las normas de la ética comercial, difunde la información deliberadamente falsa sobre la detección de los archivos de virus en el programa «ePrica». Doctor Web ayuda a la empresa Spargo Technologies a aclarar la situación.

Cabe destacar que, primero, la empresa Spargo Technologies antes de publicar su mensaje no contactó a la empresa Doctor Web y nos acusó, así mismo, falseando el sentido de la información publicada.

Segundo, cuando la empresa Doctor Web inició la investigación en el año 2012, más de 2800 farmacias y empresas farmacéuticas rusas fueron infectadas (según el Servicio de supervisión de virus de nuestra empresa). A propósito, la investigación fue causada por las quejas de nuestros clientes. En el momento, el módulo espía BackDoor.Dande.61 detectado por los expertos de la empresa Doctor Web, se detecta como software nocivo por 41 productor de programas antivirus de 63 publicados en el recurso Virustotal.

Tercero, cabe destacar, que no había archivos nocivos en el programa ePrica, por lo tanto, la empresa Doctor Web no escribió nada de eso. ePrica — es una aplicación desarrollada por la empresa Spargo Technologies que permite a los directores de farmacias analizar los precios de medicamentos y seleccionar un proveedor óptimo. La biblioteca dinámica usada por este programa, PriceCompareLoader.dll, tiene funciones exportadas que inician las bibliotecas en la memoria. PriceCompareLoader.dll se inicia en PriceComparePm.dll. Esta biblioteca intenta descargar la carga útil del sitio web, descifrarla usando el algoritmo AES e iniciarla desde la memoria. El troyano se descargaba del sitio web http://ws.eprica.ru de la empresa Spargo Technologies que sirve para actualizar el programa ePrica. Así mismo, el módulo que descargaba el programa nocivo sin autorización directamente en la memoria del equipo, tenía la firma digital válida Spargo, y este esquema de descarga no autorizada del programa nocivo causó esta investigación tan larga para detectar la fuente de infección. La información comercial robada de equipos infectados fue cargada a servidores fuera de Rusia por el troyano. En otras palabras, al igual que en caso de Trojan.Encoder.12544, que se difundía a través del software M.E.Doc, el backdoor estaba oculto en el módulo de actualización del programa.

Cuarto, las declaraciones de Spargo Technologies sobre la seguridad de las soluciones producidas porque el programa ePrica forma parte del Registro único de programas rusos no tienen sentido, porque este registro no tiene nada que ver con la seguridad del software. Comenta Eugenia Vasilenko, Directora Ejecutiva de la Asociación de propagadores de producción impresa – Software Nacional, - miembro del Consejo de expertos de desarrollo del sector de tecnologías de información, experto de la Comisión provisional del Consejo de Federación de desarrollo de la sociedad de información:

De esta forma, la información difundida por la empresa Spargo Technologies sobre la seguridad garantizada del software Spargo Technologies solo porque el mismo forma parte del Registro único del software nacional puede indicar a error y desinformar a los clientes de esta empresa.