МАРИЯ НЕФЁДОВА
АВГ 1, 2016
Федеральная Служба Безопасности РФ сообщила, что в инфраструктуре различных правительственных, научных и военных учреждений была выявлена малварь. По описанию вредоносы напоминают RAT (Remote Access Trojan), и ФСБ сообщает, что обнаруженные вредоносы ранее уже применялись в нашумевших операциях по кибершпионажу как в России, так и других странах мира.
Официальный пресс-релиз гласит, что заражению подверглись «информационные ресурсы органов государственной власти и управления, научных и военных учреждений, предприятий оборонно-промышленного комплекса и иные объекты критически важной инфраструктуры страны». Из этого сотрудники ФСБ сделали вывод, что атака являлась результатом направленной и спланированной операции.
Какая именно малварь была обнаружена в сетях госорганов, не сообщается. Основываясь на проведенном анализе стилистики кода, наименованиях файлов, параметрах использования и методах инфицирования, ФСБ заявляет, что аналогичная малварь ранее уже попадала в поле зрения экспертов как в России, так и в других странах.
«Новейшие комплекты данного программного обеспечения изготавливаются для каждой жертвы индивидуально, на основе уникальных характеристик атакуемой ПЭВМ», — пишет ФСБ, еще раз подчеркивая, что атаки были таргетированными.
Также сообщается, что вредоносы распространялись классическим способом: посредством писем, содержащих вредоносные вложения. Если пользователь «проглотил наживку», и малвари удалось проникнуть в систему, далее она принималась за шпионскую работу. Вредоносы загружали извне необходимые модули (учитывая особенности каждой отдельной жертвы) и переходили к перехвату сетевого трафика, его прослушиванию, снятию скриншотов экрана. Также малварь следила за пострадавшими через веб-камеры, подслушивала посредством микрофонов, записывала аудио и видео, без ведома жертвы, перехватывала данные о нажатии клавиш клавиатуры и так далее
«ФСБ России во взаимодействии с Министерствами и ведомствами проведен комплекс мероприятий по выявлению всех жертв данной вредоносной программы на территории Российской Федерации, а также локализации угроз и минимизации последствий, нанесенных ее распространением», — в заключение сообщает пресс-релиз.
Независимый исследователь, известный под псевдонимом Rui, решил изучить новый RAT (Remote Access Trojan) Revenge. Внимание исследователя привлек тот факт, что образчик малвари, загруженный на VirusTotal, показал результат 1/54, то есть практически не обнаруживался антивирусными продуктами. Выяснилось, что Revenge написан человеком, который известен под ником Napoleon, и распространяется совершенно бесплатно.
О трояне Rui случайно узнал из твиттера, где другой исследователь опубликовал ссылку на результаты проверки, произведенной VirusTotal, а также приложил ссылку на арабский форум Dev Point, на котором распространялась малварь. Rui заинтересовался вопросом, перешел на указанный в сообщении форум, где действительно обнаружил ссылку на сайт разработчика вредоноса, размещенный на платформе blogger.com. С сайта исследователь без проблем скачал архив, содержащий Revenge-RAT v.0.1.
Изучение трояна не представляло большой проблемы, так как его автор не озаботился даже базовой защитой и обфускацией кода. В этом свете не совсем ясно, почему сканеры VirusTotal не обнаруживали угрозу, но ответа на этот вопрос Rui пока найти не смог.
Первая версия малвари появилась на форумах Dev Point еще 28 июня 2016 года. Revenge написан на Visual Basic и, в сравнении с другими RAT, нельзя сказать, что вредонос обладает широкой функциональностью. Исследователь перечислил некоторые возможности малвари: Process Manager, Registry Editor, Remote Connections, Remote Shell, а также IP Tracker, который использует для обнаружения местоположения зараженной машины ресурс addgadgets.com. Фактически троян умеет работать кейлоггером, отслеживать жертву по IP-адресу, перехватывать данные из буфера, может составить список установленных программ, хостит файловый редактор, умеет редактировать список автозагрузки ОС, получает доступ к веб-камере жертвы и содержит дампер для паролей. Автор малвари, Napoleon, не скрывает, что его «продукт» находится в стадии разработки, и именно поэтому пока распространяется бесплатно.
«Такое чувство, что я зря потратил время, увидев этот результат 1/54 с VirusTotal, — подводит итог исследователь. — Автор [трояна] даже не попытался спрятать код хоть как-то, а архитектура слаба и банальна. Хорошо, что автор не пытается продавать свой RAT и, вероятно, только учится кодить. В любом случае, удивительно (или нет), что такие простейшие инструменты по-прежнему способны успешно скомпрометировать некоторые системы, что и демонстрирует нам видео на
, размещенное автором [малвари]».Результаты своих изысканий исследователь передал операторам VirusTotal, и теперь рейтинг обнаружения Revenge уже составляет 41/57. Так как некоторые известные антивирусы по-прежнему «не видят» трояна, Rui пишет, что «это просто демонстрирует, насколько ущербна вся антивирусная индустрия в целом».