Сотрудники киберполиции Украины задержали 42-летнего жителя Львовской области. Как сообщила пресс-служба ведомства, он обвиняется в заражении почти 2000 компьютеров в 50 странах мира модифицированной версией DarkComet. Злоумышленник установил центр управления RAT-трояном у себя дома и с него же распространял клиентские версии вредоноса. На этот же компьютер поступали собранные DarkComet данные.

Этот RAT-инструмент существует с 2008 года и изначально предназначался для легитимного управления удаленной системой. После того как в 2012 году программу предположительно использовало правительство Сирии для слежки за оппозиционерами, разработчик Жан-Пьер Лесуар (Jean-Pierre Lesueur) остановил работу над проектом. Однако ПО до сих пор пользуется популярностью у киберпреступников и активно распространяется в сети.

Набор функций, заложенных в DarkComet, позволяет ему шпионить за жертвой и захватить контроль над системой:

  • перехват звука с микрофона и видео со встроенных или внешних камер;
  • мониторинг нажатий клавиатуры (кейлоггинг);
  • создание снимков экрана;
  • установка и удаление программ;
  • управление реестром;
  • включение, выключение и перезагрузка компьютера.

Эксперты установили, что для обхода межсетевого экрана или NAT на сервере жертвы злоумышленник использовал backconnect-соединение — оно позволяло вредоносному софту самостоятельно подключаться к командному серверу.Против жителя Львовской области возбуждено уголовное дело сразу по двум статьям УК Украины — ч. 2 ст. 361 («Незаконное вмешательство в работу компьютеров, систем и компьютерных сетей») и ч. 1 ст. 361-1 («Создание с целью использования, распространения или сбыта вредных программных или технических средств, а также их распространение или сбыт»).

Каким именно образом происходило заражение, пока не установлено. Как сообщает пресс-служба СБУ, ведется техническая экспертиза изъятой техники, в том числе для определения метода инфицирования.

Сотрудники киберполиции Украины в ходе обыска изъяли стационарный компьютер и зараженный ноутбук. На первом оперативники нашли панель администратора для доступа к скомпрометированным рабочим столам, установочные файлы программы, а также скриншоты зараженных систем.

Категории: Вредоносные программы, Кибероборона