Филиппу Дурачинскому, 28-летнему жителю штата Огайо, 10 января 2017 года предъявлено обвинение по 16 различным статьям в связи с созданием вредоносного ПО FruitFly. В течение 13 лет программа позволяла ему тайно манипулировать тысячами зараженных компьютеров, шпионить за пользователями и красть их персональные данные, включая логины, пароли, налоговые декларации, медицинские карточки, банковские выписки, фотографии, историю поиска в браузере и личную переписку в чатах и мессенджерах.

В пресс-релизе окружной прокуратуры США говорится: «Дурачинский с 2003 года по 20 января 2017 года разработал схему доступа к тысячам защищенных компьютеров, принадлежащих частным лицам, компаниям, школам, полицейскому управлению и правительству, включая дочернюю компанию Министерства энергетики США. Он создал вредоносную программу, впоследствии названную FruitFly, устанавливал ее на компьютеры и на каждом из них получал доступ к сохраненным данным, имел возможность загружать файлы, делать скриншоты, регистрировать нажатия клавиш пользователя, а также включать камеру и микрофон для незаметной записи видео и аудио».

В обвинительном заключении также сказано, что Дурачинский разработал панель управления, которая позволила ему просматривать видео в реальном времени с нескольких зараженных машин одновременно и делать записи. В нескольких случаях на видео с откровенным сексуальным содержанием нашли несовершеннолетних, что можно рассматривать как изготовление детской порнографии.

ФБР арестовало Дурачинского в январе 2017 года, когда шло расследование появления вредоносных программ в университете Case Western Reserve в Кливленде. Эксперты обнаружили в том числе и FruitFly, и след вывел полицию на Дурачинского.

FruitFly впервые обнаружили в январе прошлого года в биомедицинском исследовательском центре, где системный администратор обратил внимание на странный исходящий сетевой трафик с одного из MacBook, принадлежащих учреждению.

Томас Рид (Thomas Reed), исследователь MalwareBytes, занялся изучением зловреда и пришел к выводу, что программа использует сильно устаревшие вызовы системных функций, причем некоторые из них появились раньше, чем OS X. Кроме того, для открытия или создания файлов в формате JPG вредонос использовал код libjpeg из библиотеки, которая последний раз обновлялась в 1998 году. Одновременно с этим Рид обнаружил, что в коде FruitFly учтены изменения, внесенные в версию макроса Yosemite macOS в 2015 году. Сочетание старой библиотеки кодов и обновлений в соответствии с выходом новых версий ПО заставило Рида придти к выводу, что вредоносная программа существует уже не менее 10 лет.

«Мне приходит в голову только одна причина, по которой этот вредонос до сих пор не был обнаружен, и она заключается в том, что программу используют только для целевых атак, стараясь ее не засвечивать», — прокомментировал исследователь. Этот вывод подтверждается обвинительным заключением, где говорится, что FruitFly посылал Дурачинскому сигнал, когда жертвы печатали слова, связанные с порнографией.

Томас Рид также заинтересовался наличием команд оболочки Linux в исходном скрипте, что побудило его запустить зловред на машине с этой операционной системой, и тот с ней «отлично справился». Одновременно эксперт нашел и вредоносную программу на базе Windows, которая подключалась к тем же серверам управления, что и FruitFly. Тем не менее, в обвинительном заключении нет никакой информации о версии вредоноса для Windows или Linux.

В июле прошлого года Патрик Уордл (Patrick Wardle), исследователь из компании Synack, специализирующийся на вредоносном ПО для Mac, нашел новую версию FruitFly. После дешифровки имен нескольких резервных доменов, вшитых в код программы, он обнаружил, что адреса все еще доступны. Зарегистрировав один из них, он за два дня выявил почти 400 зараженных компьютеров, подсоединившихся к его серверу, в основном из частных домовладений США. При этом Уордл имел над ними такой же контроль, как и создатель зловреда.

В интервью Forbes исследователь сказал, что считает основной целью FruitFly наблюдение.

«Это не похоже на поведение других киберпреступников. Не было ни рекламных блоков, ни кейлоггеров, ни программ-вымогателей. Его особенность в том, что он действует, поддерживая интерактивность: может предупредить злоумышленника, когда пользователь что-то делает за компьютером, может воспроизводить щелчки мыши и клавиатуры».

О своих выводах Уордл сообщил сотрудникам правоохранительных органов, а также рассказал на конференции Black Hat. Неизвестно, было ли его свидетельство доказательством, позволившим ФБР вынести обвинение Дурачинскому, или тот уже был в списке подозреваемых.

Категории: Вредоносные программы, Хакеры