Контакты
Подписка
Контакты
Подписка
МЕНЮ
Контакты
Подписка

Обнаружена кибершпионская группировка, остававшаяся неизвестной в течение 5 лет

Обнаружена кибершпионская группировка, остававшаяся неизвестной в течение 5 лет

Обнаружена кибершпионская группировка, остававшаяся неизвестной в течение 5 лет


08.08.2016



Исследователи из компании Symantec сообщили о ранее неизвестной группировке Strider, занимающейся кибершпионажем. Жертвами злоумышленников становятся избранные цели в России, Китае, Швеции и Бельгии. В ходе атак хакеры из Strider используют сложное вредоносное ПО Remsec.

По словам экспертов, им удалось обнаружить возможную связь Strider с атаками уже известной группировки Flamer (в частности использование модулей Lua). Одна из целей Strider ранее также была инфицирована шпионским ПО Regin.

 Обнаруженная Symantec группировка действует по крайней мере с октября 2011 года, и до недавнего времени о ней ничего не было известно. Жертвами Strider являются как отдельные пользователи, так и целые организации, интересующие правительственные спецслужбы. Как показал анализ образца вредоносного ПО, полученного исследователями от одного из клиентов Symantec, Remsec разработан специально для шпионажа. Вредонос выполняет функции бэкдора и кейлоггера (в его коде упоминается главный антигерой саги "Властелин колец" Саурон), а также похищает хранящиеся на зараженном компьютере файлы.

 В общей сложности исследователи обнаружили следы инфицирования Remsec лишь на 36 компьютерах в семи не связанных между собой организациях (в том числе на системах нескольких российских пользователей и организаций, китайской авиакомпании, шведской организации и посольства в Бельгии).

Remsec состоит из ряда модулей, работающих вместе как фреймворк, позволяющий злоумышленнику получить полный контроль над инфицированным компьютером, перемещаться внутри сети, похищать данные и при необходимости использовать дополнительные модули.

 Избежать обнаружения вредоносу удается несколькими способами. К примеру, некоторые компоненты Remsec представляют собой исполняемые BLOB-объекты (Binary Large Objects), которые весьма сложно обнаружить с помощью традиционных антивирусных решений. В добавок, большая часть функционала Remsec развертывается по сети, а значит, он сохраняется не на диске, а только в памяти компьютера.

 Поскольку хакеры из Strider способны создавать собственные вредоносные инструменты и оставались необнаруженными в течение как минимум пяти лет, по мнению исследователей, они могут работать на правительство какого-нибудь государства. 

Securitylab

Контакты
 
Подписка

Мы в соцсетях

Copyright © 2018-2022, ООО "ГРОТЕК"