«Лаборатория Касперского» раскрыла новый виток кампании кибершпионажа

Раскрыты подробности нового этапа кампании кибершпионажа, связанной с троянцем MiniDuke, который был обнаружен еще в прошлом году специалистами «Лаборатории Касперского» и CrySyS Lab. Это вредоносное ПО использовалось для слежки за госструктурами, однако после оглашения подробностей кампании, активность хакеров существенно снизилась. Эксперты зафиксировали возобновление вредоносной деятельности с новым размахом: злоумышленники расширили не только арсенал, но и список жертв.

Географическое распределение жертв

Новая версия троянца MiniDuke, получившая название TinyBaron или CosmicDuke, использовалась для шпионажа по всему миру. В списке стран по количеству жертв на верхних позициях находятся Грузия, Россия, США, Великобритания, Казахстан, Индия, Белоруссия, Кипр, Украина и Литва. Атаке подверглись правительственные учреждения, компании из отраслей энергетики и телекоммуникаций, военные учреждения и коммерческие организации, осуществляющие поставки для военных нужд. Теперь в сферу интересов атакующих попали частные лица, связанные с продажей и оборотом нелегальных или контролируемых веществ, таких как стероиды и гормоны (все жертвы из этой группы находятся в России).

Троянцы CosmicDuke собраны на платформе BotGenStudio, которая позволяет сконфигурировать индивидуальную программу-шпиона для каждой жертвы — точно так же для каждой жертвы был возможен выпуск индивидуального обновления вредоносного ПО. Аналитики полагают, что платформа BotGenStudio может быть создана не только для нужд разработавшей ее шпионской группы, но и для продажи узкому кругу заказчиков с иными целями. Не исключено, что помимо традиционных злоумышленников она может быть также применена правоохранительными органами для слежки за подозреваемыми и киберпреступниками.

В зависимости от настроек CosmicDuke может разными способами скрываться в системе, собирать различные наборы данных и отправлять их несколькими способами. Троянец маскируется под легитимные приложения, которые пользователи привыкли видеть в списке задач и которые обращаются к Интернету: агенты обновления Java, Acrobat, Chrome. CosmicDuke способен воровать документы разных типов, следить за клавиатурой и делать снимки экрана, красть адресные книги из почтовых приложений и пароли, сохраненные в системе и популярных мессенджерах, а также файлы сертификатов. Собранная таким образом информация передается на серверы злоумышленников множеством способов: по FTP и тремя вариантами HTTP-взаимодействия. При этом CosmicDuke использует все возможности для непрерывного функционирования — к примеру, он умеет даже запускаться через планировщик задач операционной системы.

Источник новости: Лаборатория Касперского