Mail.RuПочтаМой МирОдноклассникиИгрыЗнакомстваНовостиПоискВсе проекты
Рассылка
Получайте главные новости дня от Hi-Tech Mail.Ru
4 июля 2014, Источник: Лаборатория Касперского

Раскрыт новый виток кампании кибершпионажа

Раскрыты подробности нового этапа кампании кибершпионажа, связанной с троянцем MiniDuke, который был обнаружен еще в прошлом году специалистами «Лаборатории Касперского» и CrySyS Lab. Это вредоносное ПО использовалось для слежки за госструктурами, однако после оглашения подробностей кампании активность хакеров существенно снизилась. Теперь же эксперты зафиксировали возобновление вредоносной деятельности с новым размахом: злоумышленники расширили не только арсенал, но и список жертв.

Новая версия троянца MiniDuke, получившая название TinyBaron или CosmicDuke, использовалась для шпионажа по всему миру. В списке стран по количеству жертв на верхних позициях находятся Грузия, Россия, США, Великобритания, Казахстан, Индия, Беларусь, Кипр, Украина и Литва. Атаке подверглись правительственные учреждения, компании из отраслей энергетики и телекоммуникаций, военные учреждения и коммерческие организации, осуществляющие поставки для военных нужд. Теперь в сферу интересов атакующих попали частные лица, связанные с продажей и оборотом нелегальных или контролируемых веществ, таких как стероиды и гормоны (все жертвы из этой группы находятся в России).

Троянцы CosmicDuke собраны на платформе BotGenStudio, которая позволяет сконфигурировать индивидуальную программу-шпиона для каждой жертвы — точно так же для каждой жертвы был возможен выпуск индивидуального обновления вредоносного ПО. Аналитики полагают, что платформа BotGenStudio может быть создана не только для нужд разработавшей ее шпионской группы, но и для продажи узкому кругу заказчиков с иными целями. Не исключено, что помимо традиционных злоумышленников она может быть также применена правоохранительными органами для слежки за подозреваемыми и киберпреступниками.

В зависимости от настроек CosmicDuke может разными способами скрываться в системе, собирать различные наборы данных и отправлять их несколькими способами. Троянец маскируется под легитимные приложения, которые пользователи привыкли видеть в списке задач и которые обращаются к интернету: агенты обновления Java, Acrobat, Chrome. CosmicDuke способен воровать документы разных типов, следить за клавиатурой и делать снимки экрана, красть адресные книги из почтовых приложений и пароли, сохраненные в системе и популярных мессенджерах, а также файлы сертификатов. Собранная таким образом информация передается на серверы злоумышленников множеством способов: по FTP и тремя вариантами HTTP-взаимодействия. При этом CosmicDuke использует все возможности для непрерывного функционирования — к примеру, он умеет даже запускаться через планировщик задач операционной системы.

Отписаться от рассылки
Подписаться на рассылку
Хиты продаж и новинки
Самые лучшие цены на смартфоны
Комментарии
15
торквемада
В ответ на комментарий от igeneralovv@mail.ru
igeneralovv@mail.ru
А разве есть такое слово кампания
СсылкаПожаловаться
Есть конечно... сейчас несколько устарело. Обозначает военные действия армии применительно к географической или временной привязке.
СсылкаПожаловаться
Gaara Sobaku
Это зря они сделали. Придется ответить еще более мощным ударом. Я знаю Duke, и что он может. Это не Китай и не США. Это британские хакеры, инфа сотка. Но они поплатятся за это. Я разверну завтра разработку антисептика для Duke и Вируса для сетей UK.
СсылкаПожаловаться
КИМ
Интересная география вируса, кто же создатель?! =)
СсылкаПожаловаться
Чтобы оставить комментарий, вам нужно авторизоваться.
Обнаружили ошибку? Выделите ее и нажмите Ctrl+Enter.
Подпишитесь на нас
Новости Hi-Tech Mail.Ru