|
|
"Лаборатория Касперского" обнаружила, вероятно, самый совершенный и скрытный шпионский вирус из известных. Об этом представители компании рассказали на саммите аналитиков безопасности в Мексике.
Шпионское ПО, которое нашли исследователи лаборатории, называется Slingshot. Предназначено оно, судя по всему, не для массовой атаки, а для точечной слежки – пострадали не больше нескольких сотен компьютеров. Преимущественно в Африке и на Ближнем востоке. Но вот возможности у вируса практически безграничные: шпион может сохранять нажатия клавиш, делать и отправлять скриншоты, перехватывать трафик, пароли и все данные до того, как они будут зашифрованы. Более того, специалисты отмечают особое качество создания вируса – его работа не вызывала никаких ошибок в ядре системы.
Вторая особенность – это высокий уровень защиты самого вируса от обнаружения. Например, он использовал зашифрованную виртуальную файловую систему, которая создавалась в неиспользуемой части жесткого диска. Это решение очень сложное, и Slingshot – чуть ли единственный вирус, который оснащен такой технологией. Более того, каждая текстовая строка в модулях вируса также зашифрована.
Еще один из модулей называется Spork, он ведет себя довольно интересно, в первую очередь он собирает информацию об ОС и какие антивирусы используется. В зависимости от того, какой антивирус установлен, он использует разные правила для внедрения в систему. Он выбирает, где именно разместить тело вредоноса, в зависимости от того, какая антивирусная система установлена. То есть авторы потратили время на изучение защитных решений, нашли способ как оставаться максимально незаметными для каждого из них, проводят анализ и в зависимости от этого принимают решение.
Сколько лет шпион активен, неизвестно. Судя по коду, это шестая версия вируса. Понятно только, как он внедрялся – происходило это через уязвимость маршрутизаторов MikroTik – латвийское оборудование, довольно популярное в профессиональной среде. Производители уже выпустили новую прошивку, однако в "Лаборатории Касперского" допускают, что вирус может использовать и другие пути внедрения.
Кто автор вируса – понять на сто процентов невозможно. Единственное высказанное предположение – что речь либо о государственных структурах, либо об окологосударственных группировках, ибо сложность и, соответственно, стоимость разработки этого вредоноса остальным скорее всего не по карману.
Как пишет издание Engadget, исходя из анализа кода, эксперты пришли к выводу, что шпиона создавали, скорее всего, англо-язычные программисты. И тут уже можно говорить о неких параллелях. Например, первоначальную уязвимость, с помощью которой, вероятно, и получилось взломать маршрутизаторы MikroTik, можно найти в архиве секретных документов ЦРУ – Vault 7, его в свое время выкладывал WikiLeaks. В данных, которые публиковал Эдвард Сноуден, есть упоминание модуля Gollum – собственно следящего компонента нынешнего вируса.
В документе АНБ характеризует Gollum как партнерский имплант, который был бы полезен самому агентству. Партнеры в тексте не называются, но вероятнее всего, это ЦРУ, ведомства сотрудничают в сфере кибершпионажа. Ну и дополняет эту версию ареал заражения – это Афганистан, Ирак, Иордания, Кения, Ливия и Турция. Страны, которые чаще других обвиняют в поддержке террористов.
|
|
Фильмы |
Парней 1297 
Девушек 429 
