Исходный код троянской программы Carberp, оцененной на черном рынке в 40 тыс. долларов, утек в Сеть и отныне доступен всем и каждому. Аналогичный случай произошел пару лет назад с тулкитом ZeuS, и специалисты по интернет-безопасности опасаются, что нынешняя утечка, как в прошлый раз, породит целый сонм новых троянцев и готовых комплектов для проведения кибератак.

Исходники Carberp объявились онлайн в середине июня, и исследователи тогда же определили, что содержащий бинарник zip-архив запаролен. Через несколько дней  этот пароль был тоже выложен в Сеть, и исходный код стал доступен не только экспертам, но и всем, кто не поленился его отыскать. На протяжении почти всей своей истории Carberp являлся приватным инструментом одной из криминальных российских группировок. В 2012 году несколько предполагаемых участников этой группы были арестованы, и спустя несколько месяцев на черном рынке появилась коммерческая версия троянца, которая стала продаваться по солидной цене — 40 тыс. долларов.

Новый коммерческий тулкит был не каждому по карману, и до сей поры доступ к нему имели лишь сливки сетевого криминалитета. Теперь, когда исходники Carberp стали всеобщим достоянием, эта ситуация может быстро измениться. Данный зловред помогает своим хозяевам воровать огромное количество приватных данных с зараженных компьютеров. Carberp располагает широким набором плагинов, умеет блокировать штатные системы защиты, а также отыскивать и устранять конкурирующих резидентов. Более того, новейшие версии троянца используют буткит-технологии (MBR-руткит), что позволяет им заражать ПК с минимальными привилегиями и цепко сохранять свое присутствие в системе.

Эксперты датской компании CSIS Security Group проводят анализ опубликованного исходного кода Carberp. «Оказавшийся в нашем распоряжении комплект включает буткит Carberp, а также другие исходники, ассоциирующиеся с Stone bootkit, Citadel, Ursnif и т.п., — комментирует Петер Крусе (Peter Kruse), глава подразделения CSIS, занимающегося расследованием высокотехнологичных преступлений. — Данный комплект в настоящее время тщательно изучается. Мы нашли также несколько текстовых файлов, содержащих, по всей видимости, записи приватных чатов и ряд имен пользователей и паролей к нескольким FTP-серверам. Эти данные тоже нужно как следует изучить».

«Как и в случае с утечкой исходного кода ZeuS, произошедшей в мае 2011 года, — продолжает Крусе, — злоумышленники получили все шансы на осуществление модификаций и добавление функционала в тулкит. Такую же ситуацию мы прогнозировали в 2011 году, и она породила сонм новых коммерческих тулкитов, таких как IceIX и Citadel, которые по сию пору используются в кибератаках».

Пойдет ли утечка по такому же сценарию, покажет будущее, однако утечка Carberp — плохая новость для интернет-сообщества. Это событие способно значительно умножить аудиторию пользователей этого троянца, равно как и спектр его потенциальных мишеней. Тем не менее в подобной ситуации есть и свои плюсы: вирусные аналитики обрели дополнительную возможность глубже изучить Carberp и его внутреннее устройство, следовательно, успешнее строить оборону против опасного зловреда.

В своем письме Threatpost Крусе отметил: насколько он может судить, выложенный в Сеть исходный код Carberp является оригинальным, хотя исследователь пока не имел возможности изучить его досконально. «Похоже, что это полноценный исходник, но степень его новизны или наличие бэкдора с ходу определить невозможно. Проведение полного анализа — процесс длительный. Тем не менее тот код, что мы протестировали, прекрасно компилируется и работает, но при таких размерах и сложности на полный анализ исходного кода уходит уйма времени, даже если эксперт весьма искушен в таких делах», — заключает датчанин.

Фото: Flickr, коллекция Britrob

Категории: Вредоносные программы