Специалист по информационной безопасности Патрик Уордл (Patrick Wardle) пролил свет на некоторые обстоятельства вредоносной кампании Fruitfly, в ходе которой злоумышленник 14 лет следил за пользователями компьютеров в США.

В январе 2017-го по обвинению в организации атаки был арестован 28-летний Филипп Дурачинский. Несмотря на то что год спустя подозреваемый предстал перед судом, до сих пор оставалось неясным, как он проникал на компьютеры.

Как пояснил ИБ-эксперт, в распространенных ФБР рекомендациях по защите от атак Fruitfly указывается, что Дурачинский находил жертв, сканируя доступные порты целевых машин. По версии правоохранительных органов, обвиняемый искал открытые интерфейсы Apple Filing Protocol и SSH, а также каналы удаленного доступа RDP, VNC или службы Back to My Mac (BTMM). Специалисты утверждают, что подозреваемый атаковал устройства с ненадежными паролями или пользовался учетными данными, приобретенными в дарквебе.

Криминальную кампанию не могли обнаружить больше десяти лет, поскольку, по версии следствия, нападения Дурачинского носили целевой, точечный характер. Кроме того, он использовал полученные на устройстве привилегии лишь для наблюдения за жертвами. При помощи Fruitfly злоумышленник отслеживал определенные виды активности, чтобы добыть интересующие его данные. Например, зловред подавал автору сигнал в случае, если владелец компьютера искал порнографический контент.

Такая тактика работала в течение 14 лет — по данным следствия, первую версию Fruitfly киберпреступник написал, еще будучи школьником. Как предполагает следствие, наблюдая за своими жертвами, обвиняемый собрал большой архив видео- и фотоматериалов, часть из которых может быть квалифицирована как детская порнография.

Злоумышленника обнаружили после того, как подозрительный трафик с одного из компьютеров Apple засекли в Кейсовском университете Западного резервного района в США. Расследование привело правоохранителей к Дурачинскому. По словам Патрика Уордла, подозреваемый создал также варианты Fruitfly для Windows Linux, однако широкого распространения они не получили.

Категории: Вредоносные программы, Уязвимости, Хакеры