Компьютерный вирус MiniDuke шпионит за правительствами

Компьютерный вирус MiniDuke шпионит за правительствами

Речь идет не о классических попытках "заработать" при помощи вредоносного ПО, а о целенаправленном поиске определенной информации, связанном с большими трудозатратами

Вирусологи обнаружили новую шпионскую программу - на правительственных компьютерах по всей Европе. Программное обеспечение хорошо маскируется, практически ничего не весит и написано на необычном языке программирования. Это прецизионный инструмент, „совместимый“ с микроблогами Twitter.

Исследователи из Будапештского университета и российская компания „Лаборатория Касперского“ обнаружили на правительственных серверах необычную шпионскую программку. По всей видимости, неизвестные очень целенаправленно устанавливали ее на немногих избранных компьютерах. „Лаборатория Касперского“ выявила вредоносное ПО на 50 компьютерах в 20 государствах - в частности, в правительственных сетях на Украине, в Бельгии, Португалии, Румынии, Чехии и Ирландии, в некой венгерской исследовательской организации и в НИИ Соединенных Штатов.

Компьютерный вирус, названный специалистами „Лаборатории Касперского“ MiniDuke - это своеобразный прецизионный инструмент. Его архитектура может указывать на авторство негосударственных игроков в области компьютерного шпионажа.
В пользу данной теории есть несколько аргументов: это код вредоносной программы, целенаправленность атак и управление через специальные структуры команд. Краткий обзор „улик“:

1. Уязвимость Zero Day и целенаправленные атаки: Злоумышленникам было известно о серьезной уязвимости ПО Adobe для работы с PDF-документами, до того как в середине февраля о ней узнали все, и уязвимость была устранена. Как правило, сведения о так называемых уязвимостях Zero Day стоят больших денег. „Лаборатория Касперского“, на настоящий момент не может сказать, как долго злоумышленники имели возможность пользоваться своим тайным знанием. Возможно, соответствующие сведения уже были распространены в определенных кругах, или же злоумышленники заплатили за эксклюзив.

Неизвестные присылали своим жертвам электронные письма с правдоподобным содержанием и с „подготовленными“ PDF-документами в приложении - о семинаре, посвященном политике по правам человека, о внешней политике Украины или планах НАТО, говорилось в сопроводительном тексте. Никакого обмана здесь не было, но после открытия документов компьютер оказывался инфицированным.

2. Миниатюрная программка, старый язык: Попав на компьютер, вредоносное ПО создавало миниатюрный цифровой плацдарм, позволяющий по команде устанавливать дополнительные программные модули или передавать данные. Объем ПО составлял всего 25 КБайт, его писали на языке Assembler. Это примечательно, поскольку ПО на данном языке подвержено ошибкам, если допустить какую-то неточность и недостаточно тщательно протестировать результат. В 90-е годы авторы вирусов, в частности, Gruppe 29A, использовали этот язык - возможно, некий опытный разработчик в летах работает сейчас на новых заказчиков.

3. Хорошая маскировка: MiniDuke хорошо маскируется: в частности, вредоносное ПО после инфицирования проверяет, не очутилась ли она на виртуальном компьютере - так называемом симуляторе, зачастую используемом компьютерными вирусологами для аналитических исследований. В условиях симулятора программа не раскрывает своих „талантов“, остается бездеятельной и плохо подверженной анализу. В „нормальных“ условиях MiniDuke после установки присваивает инфицированному компьютеру однозначный идентификатор. Благодаря этому злоумышленники могут опознавать свои цели; кроме того, коммуникация инфицированных компьютеров с управляющим сервером закодирована с использованием уникальных шифров, которые определяются исходя из идентификатора того или иного компьютера.

4. Команды через Twitter: Когда инфицированные компьютеры теряют контакт с управляющими серверами, они используют в качестве резервного механизма Twitter. MiniDuke при помощи поисковика Google находит твиты с определенными зашифрованными командами, например, содержащими информацию о новых управляющих серверах. По всей видимости, злоумышленники используют для каждого инфицированного компьютера как минимум один собственный аккаунт Twitter, - через некоторые из таких аккаунтов пересылались команды наподобие "The weather is good today. Sunny! uri;wpo7VkkxYt3Mne5uiDks4Il/Iw48Ge/EWg==" („Прекрасная погодка сегодня! Солнце светит! - и далее „полезная“ информация).

Но кто за этим стоит?

Ответить на этот вопрос непросто. Эксперты не имели возможности наблюдать, как вредоносное ПО осуществляет передачу данных. Известно только, что злоумышленники инфицировали определенные компьютеры в определенных организациях, но не что именно их интересовало.
Очевидно одно: в данном случае речь идет не о классических попытках „заработать“ при помощи вредоносного ПО (спам, шантаж, „сдача в аренду“ инфицированных компьютеров), а о целенаправленном поиске определенной информации, связанном с большими трудозатратами. Их метод нетривиален, а исполнение явно отличается от такого кибероружия, как Flame, Stuxnet или Dugu.

Эксперт „Лаборатории Касперского“ по вредоносному ПО Виталий Камлюк оценивает „находку“ так: „MiniDuke - это не кибероружие. Злоумышленники могут быть преступниками. Они, как это бывает в случаях с государственными „игроками“, заинтересованы в получении специфической информации. Но, возможно, они не используют ее самостоятельно, а позднее продают клиентам“.

Источник: profile.ru

Похожие новости:
Эксперт: мобильный трафик догоняет компьютерный
Мобильный трафик растет настолько быстро, что в некоторых странах он уже обогнал компьютерный. На смартфоны, планшеты и другие "карманные" устройства, умеющие выходить в Сеть, теперь приходится 13% всего интернет-трафика. При этом еще два года назад его доля не превышала 4%. С таким докладом выступила ..
2012-12-4 1802 0 Интернет, IT
0
Касперский обнаружил новый вид кибершпионажа
Российский производитель антивирусного програмного обеспечения «Лаборатория Касперского» разместила на своем сайте отчет об исследовании произошедших на прошлой неделе вирусных атаках на правительственные учреждения и научные организации Европы и США.Главной особенностью и отличием данной атаки от многих других, зафиксированных ..
2013-03-8 1710 0 Интернет, IT
0
У Adobe украли данные 2,9 миллиона пользователей
О мощной хакерской атаке сообщил разработчик программ Adobe Systems Inc. Во время нападения на внутреннюю компьютерную сеть компании 2 октября 2013 года были украдены данные 2,9 миллиона пользователей. Хакерам, в частности. Удалось получить доступ к базе имен клиентов ..
2013-10-6 1641 0 Интернет, IT
0
Firefox будет обновляться незаметно
Новая, одиннадцатая версия браузера Firefox от компании Mozilla Foundation стала доступна для загрузки. Среди нововведений — возможность синхронизировать дополнения на разных операционных системах (в том числе на Android-смартфонах и планшетах) и импортировать закладки, историю просмотров сайтов и другие данные ..
2012-03-15 2016 0 Интернет, IT
0
"Лаборатория Касперского" нашла "самый сложный вирус в мире"
Российская компания "Лаборатория Касперского", разрабатывающая антивирусные системы и ПО для защиты от киберугроз, заявила об обнаружении "самого сложного вируса в мире". Новый "червь" успел заразить сотни компьютеров в Иране, Судане, Сирии, Ливане, Саудовской Аравии и Египте. По словам экспертов, ..
2012-05-29 2361 0 Интернет, IT
0
Компьютерный червь украл 45 тысяч паролей в Facebook
Компьютерный вирус взломал страницы 45 тысяч пользователей Facebook со всем их содержанием, включая пароли, предупреждают специалисты в области компьютерной безопасности. Согласно данным компании Seculert, в основном похищены данные пользователей Facebook в Великобритании и Франции. Виновником называют «червь» Ramnit, появившийся ..
2012-01-8 1805 0 Интернет, IT
0
Программа шпионит за пользователями через социальные сети
Американский оборонный подрядчик Raytheon разработал программу RIOT (Rapid Information Overlay Technology) для слежки за гражданами через Facebook, Foursquare и Twitter. Система заводит на каждого пользователя досье, а затем автоматически собирает и анализирует общедоступные данные из социальных сетей. К ..
2013-02-12 1806 0 Интернет, IT
0
"Яндекс" предлагает оснастить браузеры своими "Элементами"
Российская компания "Яндекс" выпустила браузерную надстройку под названием "Элементы". Она нацелена на то, чтобы расширить функциональные возможности интернет-обозревателей и ускорить работу в Сети, говорится в пресс-релизе. С помощью "Элементов" пользователи могут быстро получить доступ к популярным сервисам "Яндекса" (прогнозу ..
2012-06-28 2253 0 Интернет, IT
0
Internet Explorer 9 начал теснить конкурентов
Браузер Internet Explorer (IE) впервые за полгода начал отвоевывать рыночную долю у конкурентов. Об этом можно судить по свежей статистике от Net Applications. В марте доля IE, который разрабатывает корпорация Microsoft, выросла на рынке браузеров для ПК на 1% и достигла самого высокого уровня ..
2012-04-3 1898 0 Интернет, IT
0
Chrome ненадолго стал самым популярным браузером
Браузер Chrome впервые обогнал по рыночной доли Internet Explorer (IE), ненадолго став самой популярной программой для просмотра веб-страниц в Сети. В воскресенье, 18 марта, доля интернет-обозревателя от Google составляла 32,71%, в то время как IE от Microsoft, который бессменно удерживал пальму ..
2012-03-21 1878 0 Интернет, IT
0
Расширение для Firefox расскажет, кто шпионит за вами в Сети
К браузеру Firefox вышло дополнение Collusion. Оно в режиме реального времени показывает, как рекламодатели отслеживают перемещения пользователей в Интернете. Плагин представил гендиректор Mozilla Foundation Гэри Ковач, выступая на ежегодной конференции TED в Калифорнии, США. Ознакомиться с демо-версией Collusion и установить ..
2012-02-29 2517 0 Интернет, IT
0
Вирус Flame разработали США и Израиль
Обвинения в том, что США и Израиль совместно создали компьютерный вирус Flame, были озвучены газетой Washington Post. Газета ссылается на анонимные источники в службах безопасности США.Обвинения в том, что США и Израиль совместно создали компьютерный вирус Flame, были озвучены газетой ..
2012-06-21 2038 0 Интернет, IT
0
США и КНР продолжают диалог о кибербезопасности
Китай заявил, что готов к сотрудничеству с США в области кибербезопасности, после того как власти Соединенных Штатов призвали КНР принять серьезные меры в отношении этого вопроса. Диалог продолжается.Пресс-секретарь Министерства иностранных дел Китая Хуа Чуньин еще раз напомнила о том, что руководство страны решительно осуждает ..
2013-03-13 1569 0 Интернет, IT
0
Firefox перестанет работать на старых версиях Windows
Браузер Firefox 13, запланированный к выпуску 24 июня, не будет поддерживать устаревшие версии операционной системы Windows. Как сообщается в блоге компании-разработчика Mozilla Foundation, новая "лиса" откажется работать на Windows 2000, Windows XP Service Pack 1 (SP1) и XP RTM (издание 2001 года). Начиная ..
2012-03-27 2506 0 Интернет, IT
0
Расширение для Chrome защитит от слежки
Для Chrome вышел плагин PrivacyFix, который проверяет настройки безопасности в социальных сетях, удаляет "шпионские" cookie-файлы и прячет браузер от рекламщиков. Дополнение умеет работать с сервисами Google, Facebook и свыше тысячи других сайтов. Установить расширение можно с сайта ..
2012-10-11 2729 0 Интернет, IT
0