Вирус десять лет шпионил за компьютерами влиятельных персон

Вирус десять лет шпионил за компьютерами влиятельных персон

Венгерская компания CrySyS Lab обнародовала результаты своего расследования, в котором раскрыла долговременную шпионскую операцию, в которой использовался популярный инструмент удаленного доступа к рабочим столам TeamViewer и уникальный вирус. Целью атаки TeamSpy стали многие крупные фигуры из мира политики и бизнеса в Восточной Европе.

Авторы исследования присвоили группе операторов вируса кодовое наименование «TeamSpy». Вирус собирал ключи шифрования и документы с грифом «Секретно» на компьютерах многих высокопоставленных лиц. Среди целей вируса оказалось посольство России в одной из стран, принадлежащих НАТО и Евросоюзу (конкретное государство не указывается). Кроме того, в числе жертв есть крупное производственное предприятие в России, несколько научных и образовательных учреждений из Франции и Бельгии, а также компания по производству электроники из Ирана. Компания CrySyS узнала об атаках, когда Управление национальной безопасности Венгрии рассказало о том, что жертвой вируса TeamSpy стал некий неназванный «высокопоставленный государственный чиновник».

Технологии атак, которые используются шпионской сетью TeamSpy, по мнению авторов, с большой вероятностью свидетельствуют, что эта операция длится уже много лет. Кроме того, есть признаки того, что жертвами вируса могли оказаться и другие крупные фигуры во множестве стран мира. Дополнительную интригу расследованию придает тот факт, что приемы, использованные в этих атаках, сильно напоминают технологии мошенничества с банковскими счетами через вирус, известный под названием «Sheldon». Более того, независимый анализ специалистов из «Лаборатории Касперского» обнаружил сходство со шпионской сетью «Red October», раскрытой в прошлом году, сообщает soft.mail.ru.

По словам экспертов из CrySyS, за атаками этого класса, которые возникают уже не менее 10 лет, с большой вероятностью стоят одни и те же люди, поскольку прослеживается четкая связь между примерами используемого кода в разные годы в разных шпионских сетях. Кроме того, во второй половине 2012 г. интенсивность этих атак вновь резко увеличилась.

Исследователи особо подчеркивают, что киберпреступники нацеливаются именно на крупных лиц в бизнесе и политике. Основанием для такого заключения служат сразу несколько фактов, включая IP-адреса жертв, известные действия преступников на некоторых взломанных машинах, трассировка атак, имена файлов, которые использовались в операциях по краже информации, странный полувоенный язык в некоторых структурах кода (буквально «Obshie manevri. Ispolzovat’ tolko s razreshenija S-a», что является транслитной записью фразы «Общие маневры. Использовать только с разрешения С-а.») и другие.

Атака TeamSpy сочетает в себе сразу несколько методов, включая использование пакета TeamViewer с действительной электронной подписью, правда в продукт были внесены некоторые модификации с помощью приема, известного как «DLL hijacking» («кража DLL») — именно эти модификации позволяют преступникам следить за своими жертвами в реальном масштабе времени. Установка этой взломанной программы также открывает «черный ход» в компьютере жертвы для установки обновлений к вирусу и дополнительных вредоносных программ. Сочетание модулей TeamViewer и серверов управления практически повторяет конструкцию ранее вскрытой мошеннической системы Sheldon. Кроме того, в системе TeamSpy используются и более традиционные вирусные инструменты, написанные специально для шпионажа и манипуляций с банковскими счетами.

По данным «Лаборатории Касперского», операторы вирусной системы TeamSpy заражали компьютеры пострадавших с помощью серии атак по принципу «водопой в засуху», когда вирусы размещаются на веб-сайтах, часто посещаемых будущими жертвами. Как только жертва посетит такой «заминированный» сайт, происходит заражение. Кроме того, преступники внедряли вирус в рекламные сети для охвата целых регионов. Во многих случаях основная часть вирусного кода, которая использовалась для заражения, была заимствована из известного набора эксплойтов Eleonore. Серверы управления и контроля, на которые передавались похищенные данные, размещались в таких доменах, как politnews.org, bannetwork.org, planetanews.org, bulbanews.org и r2bnetwork.org.

Открытие шпионской сети TeamSpy стало самым новым проявлением международной шпионской операции, в которой вирусы используются для похищения данных у высокопоставленных лиц. Самой известной шпионской сетью из этой серии стала сеть Flame. Также немалую известность получили вирусные сети Gauss и Duqu. Многие специалисты убеждены, что все три упомянутых вируса поддерживает некое государство с огромными ресурсами. Кстати, открытая в прошлом году шпионская сеть Mahdi тоже относится к этому классу атак.

Детские сим-карты в России хотят ставить на стоп при нулевом балансе

Минцифры предложило новые правила для детских сим-карт: если на счету закончились деньги, оператор должен будет автоматически отключать платные услуги связи. Документ опубликован на портале проектов нормативных правовых актов.

Речь идёт о номерах, оформленных на несовершеннолетних, а также о сим-картах, которые родители передали детям.

Ограничение касается авансовой системы расчётов, когда сначала пополняешь баланс, а потом пользуешься связью. При нуле на счету должны приостанавливаться звонки, СМС, мобильный интернет и дополнительные платные услуги.

В Минцифры поясняют: экстренная связь никуда не денется. Вызов 112 и других служб останется доступен круглосуточно и бесплатно. Входящие и другие бесплатные услуги также сохранятся. Главная идея — не дать ребёнку уйти в минус или случайно накупить услуг без ведома родителей.

Но автоблокировка — только часть пакета. Для детских номеров также хотят полностью запретить входящие звонки из-за границы, отключить роуминг за пределами России, убрать массовые рассылки, включая рекламу и часть банковских сообщений, и бесплатно фильтровать контент, который может навредить ребёнку.

Чтобы ограничения заработали, родителю нужно будет сообщить оператору, что номер передан несовершеннолетнему, и указать возраст ребёнка. Сделать это можно в салоне связи, через личный кабинет или электронным документом с усиленной квалифицированной подписью. Если договор заключил сам несовершеннолетний, правила тоже будут применяться.

Проект затрагивает не только детские сим-карты. В правила хотят добавить запрет на быстрый отказ от номера: абонент-физлицо не сможет расторгнуть договор раньше чем через 90 дней после получения сим-карты. Это должно ударить по серым симкам, которые мошенники используют для обзвона и быстро выбрасывают.

Новые нормы могут вступить в силу 1 марта 2027 года и действовать до конца 2030-го. Затраты операторов на выполнение требований оцениваются от 300 млн до 3 млрд рублей. Контролировать всё это будет Роскомнадзор.

RSS: Новости на портале Anti-Malware.ru