Специалисты «Лаборатории Касперского» рассказали о подробностях нового этапа кампании кибершпионажа, реализованной при помощи трояна MiniDuke, который был обнаружен ещё в прошлом году.
Это вредоносное ПО используется для слежки за госструктурами.
«Лабораторией Касперского» было зафиксировано возобновление вредоносной деятельности с этим трояном и при том с новым размахом: злоумышленники расширили не только арсенал, но и список жертв.
Новая версия трояна MiniDuke, получившая название TinyBaron или CosmicDuke, используется для шпионажа по всему миру. В списке стран по количеству жертв на верхних позициях находятся Грузия, Россия, США, Великобритания, Казахстан, Индия, Белоруссия, Кипр, Украина и Литва.
Атаке подверглись правительственные учреждения, компании из отраслей энергетики и телекоммуникаций, военные учреждения и коммерческие организации, осуществляющие поставки для военных нужд. А с нынешнего времени в сферу интересов атакующих попали также и частные лица, связанные с продажей и оборотом нелегальных или контролируемых веществ, таких как стероиды и гормоны (все жертвы из этой группы находятся в России).
Трояны CosmicDuke собраны на платформе BotGenStudio, которая позволяет сконфигурировать программу-шпиона для каждой жертвы индивидуально — и к тому же для каждой жертвы был обеспечен выпуск индивидуального обновления вредоносного ПО.
Аналитики «Лаборатории Касперского» полагают, что платформа BotGenStudio может быть создана не только для нужд разработавшей ее шпионской группы, но и для продажи узкому кругу заказчиков с иными целями. Не исключено, что помимо традиционных злоумышленников она может быть также применена правоохранительными органами для слежки за подозреваемыми и киберпреступниками.
В зависимости от конкретных настроек CosmicDuke имеет возможность разными способами прятаться в системе, собирать разнообразные наборы данных и отправлять их несколькими способами. Троян успешно маскируется под легальные приложения, которые пользователи обычно видят в списке задач и которые обращаются к Интернету: агенты обновления Java, Acrobat, Chrome.
CosmicDuke способен воровать документы разных типов, следить за клавиатурой и делать снимки экрана, красть адресные книги из почтовых приложений и пароли, сохраненные в системе и популярных мессенджерах, а также файлы сертификатов.
Собранная таким образом информация передается на серверы злоумышленников множеством способов: по FTP и тремя вариантами HTTP-взаимодействия. При этом CosmicDuke использует все возможности для непрерывного функционирования — к примеру, он умеет даже запускаться через планировщик задач операционной системы.