Вести.net: “Лаборатория Касперского” обнаружила вирус нового уровня

"Лаборатория Касперского" обнаружила, как это назвали, "совершенно новый вирус". Насколько он на самом деле новый выясняли Вести.net.

"Лаборатория Касперского" обнаружила, вероятно, самый совершенный и скрытный шпионский вирус из известных. Об этом представители компании рассказали на саммите аналитиков безопасности в Мексике.

Шпионское ПО, которое нашли исследователи лаборатории, называется Slingshot. Предназначено оно, судя по всему, не для массовой атаки, а для точечной слежки – пострадали не больше нескольких сотен компьютеров. Преимущественно в Африке и на Ближнем востоке. Но вот возможности у вируса практически безграничные: шпион может сохранять нажатия клавиш, делать и отправлять скриншоты, перехватывать трафик, пароли и все данные до того, как они будут зашифрованы. Более того, специалисты отмечают особое качество создания вируса – его работа не вызывала никаких ошибок в ядре системы.

Вторая особенность – это высокий уровень защиты самого вируса от обнаружения. Например, он использовал зашифрованную виртуальную файловую систему, которая создавалась в неиспользуемой части жесткого диска. Это решение очень сложное, и Slingshot – чуть ли единственный вирус, который оснащен такой технологией. Более того, каждая текстовая строка в модулях вируса также зашифрована.

Еще один из модулей называется Spork, он ведет себя довольно интересно, в первую очередь он собирает информацию об ОС и какие антивирусы используется. В зависимости от того, какой антивирус установлен, он использует разные правила для внедрения в систему. Он выбирает, где именно разместить тело вредоноса, в зависимости от того, какая антивирусная система установлена. То есть авторы потратили время на изучение защитных решений, нашли способ как оставаться максимально незаметными для каждого из них, проводят анализ и в зависимости от этого принимают решение.

Сколько лет шпион активен, неизвестно. Судя по коду, это шестая версия вируса. Понятно только, как он внедрялся – происходило это через уязвимость маршрутизаторов MikroTik – латвийское оборудование, довольно популярное в профессиональной среде. Производители уже выпустили новую прошивку, однако в "Лаборатории Касперского" допускают, что вирус может использовать и другие пути внедрения.

Кто автор вируса – понять на сто процентов невозможно. Единственное высказанное предположение – что речь либо о государственных структурах, либо об окологосударственных группировках, ибо сложность и, соответственно, стоимость разработки этого вредоноса остальным скорее всего не по карману.

Как пишет издание Engadget, исходя из анализа кода, эксперты пришли к выводу, что шпиона создавали, скорее всего, англо-язычные программисты. И тут уже можно говорить о неких параллелях. Например, первоначальную уязвимость, с помощью которой, вероятно, и получилось взломать маршрутизаторы MikroTik, можно найти в архиве секретных документов ЦРУ – Vault 7, его в свое время выкладывал WikiLeaks. В данных, которые публиковал Эдвард Сноуден, есть упоминание модуля Gollum – собственно следящего компонента нынешнего вируса.

В документе АНБ характеризует Gollum как партнерский имплант, который был бы полезен самому агентству. Партнеры в тексте не называются, но вероятнее всего, это ЦРУ, ведомства сотрудничают в сфере кибершпионажа. Ну и дополняет эту версию ареал заражения – это Афганистан, Ирак, Иордания, Кения, Ливия и Турция. Страны, которые чаще других обвиняют в поддержке террористов.