Шпионские страсти вновь забушевали с новой версией троянца MiniDuke
Благодаря усилиям экспертов из «Лаборатории Касперского» стали известны подробности дальнейших похождений троянца MiniDuke, который в прошлом году прославился весомыми заслугами в кибершпионаже против различных правительственных структур и организаций. После периода затишья, потребовавшегося разработчикам для ухода от нежелательного внимания, была задействована новая программа, получившая название TinyBaron или CosmicDuke, которая расширила не только арсенал применяемых средств, но и список жертв.
Атаке подверглись правительственные учреждения, компании из отраслей энергетики и телекоммуникаций, военные учреждения и коммерческие организации, осуществляющие поставки для военных нужд. Теперь в сферу интересов атакующих также попали частные лица, связанные с продажей и оборотом нелегальных или контролируемых веществ, таких как стероиды и гормоны (все жертвы из этой группы находятся в России). Список стран по количеству пострадавших возглавляют Грузия, Россия, США, Великобритания, Казахстан, Индия, Белоруссия, Кипр, Украина и Литва.
Из технических деталей — троянцы CosmicDuke собраны на BotGenStudio. Данная узкоспециализированная универсальная платформа позволяет собирать программу-шпиона для каждой жертвы индивидуально и даже далее также индивидуально ее обновлять. В зависимости от того, как настроен шпион, он может по разному действовать в зараженной системе: прятаться (претворяясь легальным приложением), собирать данные (воровать документы, перехватывать ввод с клавиатуры, делать снимки экрана и т.д.), передавать их в «центр» (по FTP- или HTTP-протоколам).
«Интересно проанализировать изменение фокуса интересов злоумышленников. Мы привыкли к тому, что подобные таргетированные кампании разрабатываются и совершаются при господдержке и с более глобальными целями, чем наблюдение за частными торговцами стероидами. Этому мы видим два объяснения. Во-первых, возможно, платформа BotGenStudio, на которой собран CosmicDuke, доступна под видом так называемого легального инструмента для слежки, как в случае с продуктом RCS от итальянской компании HackingTeam, предназначенный для использования спецслужбами. Во-вторых, есть вероятность, что эти троянцы также подпольно распространяются среди игроков фармацевтического рынка для слежки за конкурентами», — отметил Виталий Камлюк, ведущий антивирусный эксперт «Лаборатории Касперского».
Комментировать
© iXBT
