Вирус десять лет шпионил за компьютерами влиятельных персон

Вирус десять лет шпионил за компьютерами влиятельных персон

Венгерская компания CrySyS Lab обнародовала результаты своего расследования, в котором раскрыла долговременную шпионскую операцию, в которой использовался популярный инструмент удаленного доступа к рабочим столам TeamViewer и уникальный вирус. Целью атаки TeamSpy стали многие крупные фигуры из мира политики и бизнеса в Восточной Европе.

Авторы исследования присвоили группе операторов вируса кодовое наименование «TeamSpy». Вирус собирал ключи шифрования и документы с грифом «Секретно» на компьютерах многих высокопоставленных лиц. Среди целей вируса оказалось посольство России в одной из стран, принадлежащих НАТО и Евросоюзу (конкретное государство не указывается). Кроме того, в числе жертв есть крупное производственное предприятие в России, несколько научных и образовательных учреждений из Франции и Бельгии, а также компания по производству электроники из Ирана. Компания CrySyS узнала об атаках, когда Управление национальной безопасности Венгрии рассказало о том, что жертвой вируса TeamSpy стал некий неназванный «высокопоставленный государственный чиновник».

Технологии атак, которые используются шпионской сетью TeamSpy, по мнению авторов, с большой вероятностью свидетельствуют, что эта операция длится уже много лет. Кроме того, есть признаки того, что жертвами вируса могли оказаться и другие крупные фигуры во множестве стран мира. Дополнительную интригу расследованию придает тот факт, что приемы, использованные в этих атаках, сильно напоминают технологии мошенничества с банковскими счетами через вирус, известный под названием «Sheldon». Более того, независимый анализ специалистов из «Лаборатории Касперского» обнаружил сходство со шпионской сетью «Red October», раскрытой в прошлом году, сообщает soft.mail.ru.

По словам экспертов из CrySyS, за атаками этого класса, которые возникают уже не менее 10 лет, с большой вероятностью стоят одни и те же люди, поскольку прослеживается четкая связь между примерами используемого кода в разные годы в разных шпионских сетях. Кроме того, во второй половине 2012 г. интенсивность этих атак вновь резко увеличилась.

Исследователи особо подчеркивают, что киберпреступники нацеливаются именно на крупных лиц в бизнесе и политике. Основанием для такого заключения служат сразу несколько фактов, включая IP-адреса жертв, известные действия преступников на некоторых взломанных машинах, трассировка атак, имена файлов, которые использовались в операциях по краже информации, странный полувоенный язык в некоторых структурах кода (буквально «Obshie manevri. Ispolzovat’ tolko s razreshenija S-a», что является транслитной записью фразы «Общие маневры. Использовать только с разрешения С-а.») и другие.

Атака TeamSpy сочетает в себе сразу несколько методов, включая использование пакета TeamViewer с действительной электронной подписью, правда в продукт были внесены некоторые модификации с помощью приема, известного как «DLL hijacking» («кража DLL») — именно эти модификации позволяют преступникам следить за своими жертвами в реальном масштабе времени. Установка этой взломанной программы также открывает «черный ход» в компьютере жертвы для установки обновлений к вирусу и дополнительных вредоносных программ. Сочетание модулей TeamViewer и серверов управления практически повторяет конструкцию ранее вскрытой мошеннической системы Sheldon. Кроме того, в системе TeamSpy используются и более традиционные вирусные инструменты, написанные специально для шпионажа и манипуляций с банковскими счетами.

По данным «Лаборатории Касперского», операторы вирусной системы TeamSpy заражали компьютеры пострадавших с помощью серии атак по принципу «водопой в засуху», когда вирусы размещаются на веб-сайтах, часто посещаемых будущими жертвами. Как только жертва посетит такой «заминированный» сайт, происходит заражение. Кроме того, преступники внедряли вирус в рекламные сети для охвата целых регионов. Во многих случаях основная часть вирусного кода, которая использовалась для заражения, была заимствована из известного набора эксплойтов Eleonore. Серверы управления и контроля, на которые передавались похищенные данные, размещались в таких доменах, как politnews.org, bannetwork.org, planetanews.org, bulbanews.org и r2bnetwork.org.

Открытие шпионской сети TeamSpy стало самым новым проявлением международной шпионской операции, в которой вирусы используются для похищения данных у высокопоставленных лиц. Самой известной шпионской сетью из этой серии стала сеть Flame. Также немалую известность получили вирусные сети Gauss и Duqu. Многие специалисты убеждены, что все три упомянутых вируса поддерживает некое государство с огромными ресурсами. Кстати, открытая в прошлом году шпионская сеть Mahdi тоже относится к этому классу атак.

Microsoft чинит кошмар переустановки Windows — пропавшие драйверы

Переустановка Windows наконец может стать чуть меньше похожей на танцы с бубном. Microsoft представила функцию Cloud rebuild, которая должна переустанавливать не только саму Windows, но и драйверы устройства через Windows Update.

Идея такая: пользователь сбрасывает компьютер, а система подтягивает целевой образ Windows и нужные драйверы из облака.

Сейчас свежая установка Windows часто превращается в отдельный вид страдания. Нужно понять, каких драйверов не хватает, где их скачать, что поставить первым, а что лучше вообще не трогать. Особенно весело становится, если в игру вступают видеодрайверы NVIDIA, которые умеют подарить пользователю вечер неожиданных приключений.

Cloud rebuild пока доступна участникам программы Windows Insider, начиная с Experimental Preview Build 26300.8772. В Microsoft планируют постепенно вывести функцию на более широкую аудиторию в ближайшие месяцы, если планы не изменятся.

 

Запустить новый режим можно из среды восстановления Windows. Для этого нужно открыть WinRE, выбрать Troubleshoot → Recovery and uninstall → Cloud rebuild, подключиться к интернету по Ethernet или Wi-Fi, проверить версию, редакцию и язык Windows, а затем подтвердить предупреждение о потере данных.

Полностью все проблемы функция, конечно, не решает. Для Cloud rebuild всё равно нужен интернет, но если подключение есть, пользователю больше не придётся вручную охотиться за каждым драйвером и надеяться, что после установки система не устроит сюрприз.

Участники Windows Insider уже могут попробовать Cloud rebuild и отправить отзывы через Feedback Hub. Если всё сработает как задумано, переустановка Windows станет наконец не наказанием, а просто технической процедурой.

RSS: Новости на портале Anti-Malware.ru