Išaiškintos naujojo kibernetinio šnipinėjimo kampanijos etapo detalės, susijusios su dar pernai „Kaspersky Lab“ ir „CrySyS Lab“ specialistų aptiktu „Trojos“ virusu „MiniDuke“. Ši kenkėjiška programinė įranga buvo taikoma sekti valstybines struktūras, tačiau paviešinus kampanijos detales programišių aktyvumas ženkliai sumažėjo. Tačiau dabar „Kaspersky Lab“ ekspertai užfiksavo kenkėjiškos veiklos atnaujinimą plačiu mastu: kenkėjai ne tik išplėtė arsenalą, bet ir aukų sąrašą.
Naujoji „Trojos“ viruso versija „MiniDuke“, pavadinta „TinyBaron“, arba „CosmicDuke“, buvo taikoma šnipinėti visame pasaulyje. Šalių sąraše pagal aukų skaičių viršutines pozicijas užima Gruzija, Rusija, JAV, Didžioji Britanija, Kazachstanas, Indija, Baltarusija, Kipras, Ukraina ir Lietuva. Buvo atakuojamos valstybinės institucijos, energetikos ir telekomunikacijų bendrovės, karo organizacijos ir komercinės įmonės, teikiančios su karo reikmėmis susijusias paslaugas. Dabar pradėti atakuoti ir privatūs asmenys, susiję su neteisėtų arba kontroliuojamų medžiagų, tokių kaip steroidai ir hormonai, pardavimu bei tiekimu.
Virusai „CosmicDuke“ surinkti „BotGenStudio“ platformoje, leidžiančioje konfigūruoti individualią kiekvienos aukos šnipinėjimo programą, – taip pat kiekvienai aukai buvo galima išleisti individualų kenkėjiškos programinės įrangos atnaujinimą. „Kaspersky Lab“ analitikai mano, kad „BotGenStudio“ platforma gali būti sukurta ne tik ją sukūrusios šnipinėjimo grupės reikmėms, bet ir parduoti nedideliam skaičiui užsakovų, turinčių kitokių reikmių. Gali būti, kad ja gali pasinaudoti ne tik apgavikai, bet ir teisėsaugos institucijos, siekiančios sekti įtariamuosius ir kibernetinius nusikaltėlius.
„Įdomu tyrinėti apgavikų interesų fokuso pokytį. Mes esame pripratę, kad panašios tikslinės kampanijos kuriamos ir vykdomos palaikant valstybei ir turint globalesnių tikslų nei privačių steroidų pardavėjų sekimas. Matome du paaiškinimus. Pirma, gali būti, kad „BotGenStudio“ platforma, kurioje surinktas „CosmicDuke“, prieinama kaip vadinamasis teisėtas sekimo instrumentas, tarkim, kaip Italijos bendrovės „HackingTeam“ produkto RCS atveju taikoma specialiųjų tarnybų reikmėms. Antra, yra tikimybė, kad šie „Trojos“ virusai taip pat neteisėtai platinami tarp farmacijos rinkos žaidėjų sekti konkurentus“, – atkreipė dėmesį Vitalijus Kamliukas, „Kaspersky Lab“ antivirusų ekspertas.
Priklausomai nuo parametrų „CosmicDuke“ gali įvairiais būdais slapstytis sistemoje, rinkti įvairius duomenų rinkinius ir juos įvairiai siųsti. Virusas maskuojasi kaip teisėtas priedas, kurį vartotojai yra pripratę matyti užduočių sąraše ir kurie siejami su internetu: „Java“, „Acrobat“, „Chrome“ atnaujinimo agentai. „CosmicDuke“ gali vogti įvairių tipų dokumentus, sekti klaviatūrą ir fotografuoti ekraną, vogti adresų knygas iš pašto prisegamų priedų ir slaptažodžius, išsaugotus sistemoje ir populiariose pranešimo siuntimo programose, taip pat sertifikatų failus. Tokiu būdu surinkta informacija kenkėjų serveriams perduodama įvairiais būdais: FTP ir trimis variantais HTTP sąveikos. Be to, „CosmicDuke“ naudoja visas galimybes nepertraukiamai funkcionuoti, – pavyzdžiui, jį galima paleisti per operacinės sistemos užduočių planuotoją.
Išsamiai su ataskaitos versija galite susipažinti adresu:
http://www.securelist.com/en/blog/208214341/Miniduke_is_back_Nemesis_Gemina_and_the_Botgen_Studio
