Потужні шкідливі програми, заражені урядами Росії, Ірану та Рванади, залишилися прихованими протягом п'яти років - Обчислення - 2019

Anonim

Неймовірно складний шматочок шкідливих програм, заражених державними комп'ютерами в Росії, Ірані та Руанді, і ухилявся від виявлення протягом п'яти років. Шкідливе програмне забезпечення, яке називається "ProjectSauron" Касперського та "Remsec" від Symantec, активно починаючи з 2011 року або більше, заражаючи комп'ютери на комп'ютерах державних установ, військових операцій, науково-дослідних установ, банків та телекомунікаційних компаній.

Зловмисне програмне забезпечення використовувало всілякі трюки, щоб залишатися прихованими, в тому числі жити переважно в системній пам'яті. Але величезна частина успіху ProjectSauron, як повідомляє Ars Technica, - це здатність вірусу уникати залишення шаблонів.

"Нападники чітко розуміють, що ми як дослідники завжди шукаємо шаблони", - сказав Касперський. "Видаліть шаблони, і операцію буде важче виявити. Нам відомо про атаку понад 30 організацій, але ми впевнені, що це лише крихітний вершина айсберга ".

Уникнення цього шаблону має вирішальне значення для успіху шкідливого програмного забезпечення, а також абсолютно вражає. Наприклад: виконувані файли мали різні назви на різних машинах, всі вони розроблені, щоб виглядати нешкідливими. Ось кілька прикладів імен файлів з доповіді Касперського:

Постачальник, який використовує схожі імена файлівЗашифроване ім'я файлу зловмисного програмного забезпечення
Лабораторія Касперськогоkavupdate.exe, kavupd.exe
SymantecSsaWrapper.exe, symnet32.dll
MicrosoftKB2931368.exe
Hewlett Packardhptcpprnt.dll
VmWareVMwareToolsUpgr32.exe

Як видно, зловмисне програмне забезпечення займає, здавалося б, мирські імена файлів, які користувачі не знайдуть поза місцем.

Але все стає ще божевільним. Це зловмисне програмне забезпечення має плагінну систему, тобто спеціальний код Lua може бути налаштований для захоплення даних з конкретних машин. Можливі 50 різних видів плагінів.

Шкідлива програма може заразити комп'ютери різними способами. Навіть якщо ціль має повітряний потік, зловмисне програмне забезпечення може перебувати на USB-дисках.

Інформація може бути витягнута з цілей у всіх різних способів теж, деякі з них досить роман. Наприклад: шкідливе ПЗ було відправлено метадані через DNS.

У чому полягає все це? За словами Касперського, зловмисне програмне забезпечення "призначене для виконання певних функцій, таких як крадіжка документів, запис натискань клавіш та викрадення ключів шифрування з обох заражених комп'ютерів та підключених USB-накопичувачів".

Невідомо, хто зробив це зловмисне програмне забезпечення. Витонченість пропонує державного спонсора, але нічого не можна сказати точно про це. Ми уважно стежимо, як дослідники безпеки намагаються дізнатися більше.