Вирус десять лет шпионил за компьютерами влиятельных персон

Вирус десять лет шпионил за компьютерами влиятельных персон

Венгерская компания CrySyS Lab обнародовала результаты своего расследования, в котором раскрыла долговременную шпионскую операцию, в которой использовался популярный инструмент удаленного доступа к рабочим столам TeamViewer и уникальный вирус. Целью атаки TeamSpy стали многие крупные фигуры из мира политики и бизнеса в Восточной Европе.

Авторы исследования присвоили группе операторов вируса кодовое наименование «TeamSpy». Вирус собирал ключи шифрования и документы с грифом «Секретно» на компьютерах многих высокопоставленных лиц. Среди целей вируса оказалось посольство России в одной из стран, принадлежащих НАТО и Евросоюзу (конкретное государство не указывается). Кроме того, в числе жертв есть крупное производственное предприятие в России, несколько научных и образовательных учреждений из Франции и Бельгии, а также компания по производству электроники из Ирана. Компания CrySyS узнала об атаках, когда Управление национальной безопасности Венгрии рассказало о том, что жертвой вируса TeamSpy стал некий неназванный «высокопоставленный государственный чиновник».

Технологии атак, которые используются шпионской сетью TeamSpy, по мнению авторов, с большой вероятностью свидетельствуют, что эта операция длится уже много лет. Кроме того, есть признаки того, что жертвами вируса могли оказаться и другие крупные фигуры во множестве стран мира. Дополнительную интригу расследованию придает тот факт, что приемы, использованные в этих атаках, сильно напоминают технологии мошенничества с банковскими счетами через вирус, известный под названием «Sheldon». Более того, независимый анализ специалистов из «Лаборатории Касперского» обнаружил сходство со шпионской сетью «Red October», раскрытой в прошлом году, сообщает soft.mail.ru.

По словам экспертов из CrySyS, за атаками этого класса, которые возникают уже не менее 10 лет, с большой вероятностью стоят одни и те же люди, поскольку прослеживается четкая связь между примерами используемого кода в разные годы в разных шпионских сетях. Кроме того, во второй половине 2012 г. интенсивность этих атак вновь резко увеличилась.

Исследователи особо подчеркивают, что киберпреступники нацеливаются именно на крупных лиц в бизнесе и политике. Основанием для такого заключения служат сразу несколько фактов, включая IP-адреса жертв, известные действия преступников на некоторых взломанных машинах, трассировка атак, имена файлов, которые использовались в операциях по краже информации, странный полувоенный язык в некоторых структурах кода (буквально «Obshie manevri. Ispolzovat’ tolko s razreshenija S-a», что является транслитной записью фразы «Общие маневры. Использовать только с разрешения С-а.») и другие.

Атака TeamSpy сочетает в себе сразу несколько методов, включая использование пакета TeamViewer с действительной электронной подписью, правда в продукт были внесены некоторые модификации с помощью приема, известного как «DLL hijacking» («кража DLL») — именно эти модификации позволяют преступникам следить за своими жертвами в реальном масштабе времени. Установка этой взломанной программы также открывает «черный ход» в компьютере жертвы для установки обновлений к вирусу и дополнительных вредоносных программ. Сочетание модулей TeamViewer и серверов управления практически повторяет конструкцию ранее вскрытой мошеннической системы Sheldon. Кроме того, в системе TeamSpy используются и более традиционные вирусные инструменты, написанные специально для шпионажа и манипуляций с банковскими счетами.

По данным «Лаборатории Касперского», операторы вирусной системы TeamSpy заражали компьютеры пострадавших с помощью серии атак по принципу «водопой в засуху», когда вирусы размещаются на веб-сайтах, часто посещаемых будущими жертвами. Как только жертва посетит такой «заминированный» сайт, происходит заражение. Кроме того, преступники внедряли вирус в рекламные сети для охвата целых регионов. Во многих случаях основная часть вирусного кода, которая использовалась для заражения, была заимствована из известного набора эксплойтов Eleonore. Серверы управления и контроля, на которые передавались похищенные данные, размещались в таких доменах, как politnews.org, bannetwork.org, planetanews.org, bulbanews.org и r2bnetwork.org.

Открытие шпионской сети TeamSpy стало самым новым проявлением международной шпионской операции, в которой вирусы используются для похищения данных у высокопоставленных лиц. Самой известной шпионской сетью из этой серии стала сеть Flame. Также немалую известность получили вирусные сети Gauss и Duqu. Многие специалисты убеждены, что все три упомянутых вируса поддерживает некое государство с огромными ресурсами. Кстати, открытая в прошлом году шпионская сеть Mahdi тоже относится к этому классу атак.

RedWing охотится на пользователей Android в России и крадёт деньги

На Android появился новый банковский вредонос RedWing, который работает как готовый сервис для мошенников. Его сдают в аренду через Telegram: с тарифами, скидками за рефералов, инструкциями и обучающими видео. Даже преступнику без навыков разработки достаточно оплатить подписку и получить инструмент для кражи банковских данных.

Операцию обнаружили специалисты Zimperium zLabs. По их данным, RedWing похож на новый вариант Oblivion — вредоноса за $300 в месяц, о котором писали ранее.

Покупателю даже не нужно собирать приложение самому: телеграм-бот генерирует кастомный APK под выбранные цели.

Заражение начинается с фишинговой ссылки, которая ведёт на фейковую страницу магазина приложений. Конструктор умеет копировать Google Play, Galaxy Store, AppGallery и даже делать страницы с липовыми оценками, отзывами и счётчиком загрузок под заказ. Дальше жертву уговаривают установить приложение в обход официального магазина и выдать ему нужные разрешения.

 

RedWing действует аккуратно: не заваливает пользователя всем сразу, а просит доступы по одному. Сначала отключить ограничения батареи, потом сделать приложение обработчиком СМС, включить уведомления, а затем — дать доступ к Accessibility. И вот тут телефон фактически начинает работать не только на владельца.

 

После получения прав вредонос может показывать фейковые окна входа поверх банковских и криптоприложений, читать СМС с одноразовыми кодами, вытаскивать ПИН-коды и номера карт с экрана, вести кейлоггинг и транслировать экран оператору. Ещё хуже — RedWing умеет незаметно включать переадресацию входящих звонков через код *21*, чтобы перехватывать банковские проверки и звонки антифрода.

В арсенале также доступ к камере и микрофону, кража файлов, контактов и журналов вызовов, отслеживание геолокации и даже использование заражённых устройств для DDoS-атак.

Zimperium насчитала 82 целевые организации, причём заметный фокус сделан на российских финансовых компаниях. Один из образцов использовал фейковую страницу RuStore.

RSS: Новости на портале Anti-Malware.ru