Специалисты Symantec обнаружили хитрую кибершпионскую группу, которой удавалось долгое время оставаться в тени. Целью этой группы были организации, находящиеся в России, Китае и ряде стран Европы.
Группа, известная под названием действует приблизительно с 2011 года. Symantec проанализировала один из инструментов этой группы - , после того, как клиент представил образец, обнаруженный его антивирусным средством из-за подозрительного поведения.
По мнению исследователей, Remsec является вредоносной программой, в первую очередь предназначенной для шпионажа. Remsec может отслеживать и логировать нажатия клавиш, красть файлы с компьютера , в общем, выступать в качестве бэкдора (backdoor).
«Remsec содержит ряд функций, помогающих ему избежать обнаружения. Некоторые из его компонентов в виде двоичных больших объектов сложнее обнаружить с помощью традиционных антивирусных средств» - объясняют исследователи Symantec – «В дополнение к этому, большая часть функционала вредоноса развернут в сети, то есть он находится только в памяти компьютера и никогда не хранится на диске. Это также затрудняет обнаружение и указывает на то, что группа Strider очень подготовлена и компетентна технически».
Symantec обнаружила в общей сложности 36 заражений в 7 организациях в четырех странах. В России, Китае, Бельгии и Швеции.
Вредный функционал обеспечивается связкой модулей, каждый из которых отвечает за конкретную задачу. Например, Remsec выдает себя за программный интерфейс между приложениями и провайдерами безопасности. Вредоносная программа также включает в себя три различных модуля бэкдора (базовый, продвинутый и HTTP).
Интересно отметить, что модули загрузчика и кейлоггера написаны на языке программирования Lua. Исследователи отметили, что это похоже на Flame, весьма сложное кибер-оружие, приравниваемое к Stuxnet и Duqu. Анализ модуля кейлоггера также показал, что его код содержит отсылки к Саурону (Sauron), главному антагонисту Властелина колец.
Symantec также отметили, что одна из жертв Strider была ранее заражена еще одним сожным трояном Regin, который использовался в кибер-шпионских операциях, по крайней мере, с 2008 года. Стоит отметить, что оба трояна Regin и Flame ассоциировались с определенными государствами, в том числе, с Британией, Америкой и Израилем.
Symantec считает, что Strider может также спонсироваться каким-либо государством, этот вывод основан на возможностях, сложности вредоноса и характере его целей.
Чтобы помочь организациям обнаружить присутствие угрозы на их системах, компания опубликовала небольшой .
В России готовятся заблокировать несколько приложений, позволяющих менять голос во время звонков и переписки — в том числе с использованием реалистичных голосов знаменитостей. Соответствующее решение принял Хамовнический суд Москвы, и запрет вступит в силу уже в феврале.
Как сообщает телеграм-канал Baza, суд согласился с позицией прокуратуры, которая указала на высокие риски злоупотреблений такими сервисами.
Речь идёт не только о телефонных розыгрышах: с помощью приложений для подмены голоса, по мнению надзорных органов, можно рассылать ложные сообщения о терактах, совершать звонки с экстремистскими призывами и использовать технологии в мошеннических схемах.
Тема подмены голоса в последнее время действительно всё чаще всплывает в криминальной хронике. Например, злоумышленники всё чаще выдают себя за сотрудников следственных органов, используя технологии искусственного интеллекта для генерации голосов и визуальных образов.
Одним из самых распространённых видов мошенничества с применением дипфейков остаются просьбы о материальной помощи от имени знакомых и коллег потенциальных жертв. Для рассылки таких сообщений злоумышленники, как правило, используют похищенные аккаунты. Также ранее фиксировались случаи использования визуальных образов губернаторов ряда регионов.
Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017 Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.
