Хотя количество групп, занимающихся кибершпионажем, быстро растет и их вредоносный инструментарий весьма широк, в этом ряду особняком стоит группа, использующая троянца MiniDuke, обнаруженного в прошлом году. Среди его уникальных черт — возможность искать свои управляющие серверы в Twitter, а также феноменально компактный код, написанный на ассемблере. MiniDuke использовался для слежки за госструктурами, но после серии публикаций о нем активность хакеров была значительно снижена. Сегодня можно говорить о том, что они возобновили свою деятельность, расширив как список жертв, так и арсенал. Вчера было опубликовано краткое исследование нового вредоносного кода CosmicDuke от F-Secure, а сегодня «Лаборатория Касперского» выпустила свой отчет, разбирающий как особенности нового троянца, так и сферу его применения.

Новый MiniDuke (известный как TinyBaron и CosmicDuke у других исследователей) использовался для шпионажа за жертвами в Грузии, России, США, Великобритании, Казахстане, Индии, Беларуси, на Кипре, Украине и в Литве, а также ряде других стран. Среди жертв — правительственные учреждения, компании из энергетики и телекоммуникаций, военные учреждения и коммерческие компании, осуществляющие поставки для военных нужд. Новым словом в деятельности подобных шпионских групп стал интерес хакеров к «частным лицам, связанным с продажей и оборотом нелегальных или контролируемых веществ», как назвали этих людей исследователи «Лаборатории Касперского». Обычно такие формулировки относятся к наркотикам, но в найденных файлах речь шла скорее о продаже стероидов и гормонов, причем все жертвы из этой группы находятся в России.

Новые версии троянцев MiniDuke собраны при помощи загадочного «генератора ботов» BotGenStudio, который позволяет собирать собственную программу-шпиона для каждой жертвы. В зависимости от настроек он может разными способами скрываться в системе, собирать разные наборы данных и отправлять их несколькими способами. Примечательно, что троянец маскируется под легитимные приложения, которые действительно часто «висят» в списке задач и обращаются к Интернету, — агенты обновления Java, Acrobat, Chrome. Троянец способен воровать документы разных типов, следить за клавиатурой и делать снимки экрана, красть адресные книги из почтовых приложений и пароли, сохраненные в системе, а также файлы сертификатов.

Исследователи предполагают, что BotGenStudio может быть платформой, которая не только создана для применения шпионской группой, но и продается узкому кругу заказчиков для иных целей. В частности, возможно ее применение правоохранительными органами для слежки за подозреваемыми, как это происходит в случае с продуктом RCS от итальянской компании Hacking Team.

Категории: Аналитика, Вредоносные программы