Речь идет не о классических попытках "заработать" при помощи вредоносного ПО, а о целенаправленном поиске определенной информации, связанном с большими трудозатратами
Вирусологи обнаружили новую шпионскую программу - на правительственных компьютерах по всей Европе. Программное обеспечение хорошо маскируется, практически ничего не весит и написано на необычном языке программирования. Это прецизионный инструмент, „совместимый“ с микроблогами Twitter.
Исследователи из Будапештского университета и российская компания „Лаборатория Касперского“ обнаружили на правительственных серверах необычную шпионскую программку. По всей видимости, неизвестные очень целенаправленно устанавливали ее на немногих избранных компьютерах. „Лаборатория Касперского“ выявила вредоносное ПО на 50 компьютерах в 20 государствах - в частности, в правительственных сетях на Украине, в Бельгии, Португалии, Румынии, Чехии и Ирландии, в некой венгерской исследовательской организации и в НИИ Соединенных Штатов.
Компьютерный вирус, названный специалистами „Лаборатории Касперского“ MiniDuke - это своеобразный прецизионный инструмент. Его архитектура может указывать на авторство негосударственных игроков в области компьютерного шпионажа.
В пользу данной теории есть несколько аргументов: это код вредоносной программы, целенаправленность атак и управление через специальные структуры команд. Краткий обзор „улик“:
1. Уязвимость Zero Day и целенаправленные атаки: Злоумышленникам было известно о серьезной уязвимости ПО Adobe для работы с PDF-документами, до того как в середине февраля о ней узнали все, и уязвимость была устранена. Как правило, сведения о так называемых уязвимостях Zero Day стоят больших денег. „Лаборатория Касперского“, на настоящий момент не может сказать, как долго злоумышленники имели возможность пользоваться своим тайным знанием. Возможно, соответствующие сведения уже были распространены в определенных кругах, или же злоумышленники заплатили за эксклюзив.
Неизвестные присылали своим жертвам электронные письма с правдоподобным содержанием и с „подготовленными“ PDF-документами в приложении - о семинаре, посвященном политике по правам человека, о внешней политике Украины или планах НАТО, говорилось в сопроводительном тексте. Никакого обмана здесь не было, но после открытия документов компьютер оказывался инфицированным.
2. Миниатюрная программка, старый язык: Попав на компьютер, вредоносное ПО создавало миниатюрный цифровой плацдарм, позволяющий по команде устанавливать дополнительные программные модули или передавать данные. Объем ПО составлял всего 25 КБайт, его писали на языке Assembler. Это примечательно, поскольку ПО на данном языке подвержено ошибкам, если допустить какую-то неточность и недостаточно тщательно протестировать результат. В 90-е годы авторы вирусов, в частности, Gruppe 29A, использовали этот язык - возможно, некий опытный разработчик в летах работает сейчас на новых заказчиков.
3. Хорошая маскировка: MiniDuke хорошо маскируется: в частности, вредоносное ПО после инфицирования проверяет, не очутилась ли она на виртуальном компьютере - так называемом симуляторе, зачастую используемом компьютерными вирусологами для аналитических исследований. В условиях симулятора программа не раскрывает своих „талантов“, остается бездеятельной и плохо подверженной анализу. В „нормальных“ условиях MiniDuke после установки присваивает инфицированному компьютеру однозначный идентификатор. Благодаря этому злоумышленники могут опознавать свои цели; кроме того, коммуникация инфицированных компьютеров с управляющим сервером закодирована с использованием уникальных шифров, которые определяются исходя из идентификатора того или иного компьютера.
4. Команды через Twitter: Когда инфицированные компьютеры теряют контакт с управляющими серверами, они используют в качестве резервного механизма Twitter. MiniDuke при помощи поисковика Google находит твиты с определенными зашифрованными командами, например, содержащими информацию о новых управляющих серверах. По всей видимости, злоумышленники используют для каждого инфицированного компьютера как минимум один собственный аккаунт Twitter, - через некоторые из таких аккаунтов пересылались команды наподобие "The weather is good today. Sunny! uri;wpo7VkkxYt3Mne5uiDks4Il/Iw48Ge/EWg==" („Прекрасная погодка сегодня! Солнце светит! - и далее „полезная“ информация).
Но кто за этим стоит?
Ответить на этот вопрос непросто. Эксперты не имели возможности наблюдать, как вредоносное ПО осуществляет передачу данных. Известно только, что злоумышленники инфицировали определенные компьютеры в определенных организациях, но не что именно их интересовало.
Очевидно одно: в данном случае речь идет не о классических попытках „заработать“ при помощи вредоносного ПО (спам, шантаж, „сдача в аренду“ инфицированных компьютеров), а о целенаправленном поиске определенной информации, связанном с большими трудозатратами. Их метод нетривиален, а исполнение явно отличается от такого кибероружия, как Flame, Stuxnet или Dugu.
Эксперт „Лаборатории Касперского“ по вредоносному ПО Виталий Камлюк оценивает „находку“ так: „MiniDuke - это не кибероружие. Злоумышленники могут быть преступниками. Они, как это бывает в случаях с государственными „игроками“, заинтересованы в получении специфической информации. Но, возможно, они не используют ее самостоятельно, а позднее продают клиентам“.
Источник: profile.ru
