Финская антивирусная компания F-Secure говорит, что ее специалистами обнаружены признаки использования Skype и методов социальной инженерии для заражения компьютеров гражданских активистов шпионским программным обеспечением. В F-Secure рассказывают, что их исследовательская лаборатория получила жесткий диск с образом системы для последующего анализа. Система принадлежала одному из сирийских политических активистов.
На ней в F-Secure обнаружили бэкдор, отправленный с аккаунта другого активиста. Многие политические активисты в странах с репрессивными режимами предпочитают использовать Skype, так как без мощного вмешательства разговоры здесь достаточно сложно прослушать.
Как установили финские антивирусные эксперты, компьютер целевого активиста был заражен во время чата по Skype с другим представителем оппозиционного политического движения в Сирии. Активистка, передавшая жесткий диск для анализа говорит, что заподозрила неладное, когда ее собеседник больше не выходил на связь, а саму активистку вскоре арестовали. "Она вспомнила, что получила файл от своего собеседника по Skype", - говорит директор по исследованиям McAfee Микко Хиппонен.
По его словам, активистке был передан файл MACAddressChanger.exe, который, согласно легенде, должен был помочь скрывать компьютер от действующих сирийских властей, якобы, меняя сетевой MAC-адрес машины. В реальности, код представлял собой бэкдор Xtreme RAT. На сегодня этот вредоносный код продается примерно за 100 евро на нескольких сайтах. Он позволяет контролировать целевой компьютер в любой точке мира. Однако в F-Secure говорят, что с их точки зрения созданный код - это полноценная система наблюдения, так как она позволяет перехватывать данные с экрана, шпионить за клавиатурой, включать и отключать микрофон и веб-камеру, получать удаленный доступ к файловой системе, а также отслеживать любые локальные сетевые подключения. Новинка даже может просматривать открытые файлы в системе Dropbox, если сам пользователь ее применяет.
В F-Secure говорят, что полученный ими образец бэкдора сливал все полученные данные на IP-адрес 216.6.0.28, принадлежащий сирийскому Министерству телекоммуникаций, отчитывающемуся перед правительством.
"Мы видим, как все правительства применяют технологии, особенно это характерно для репрессивных режимов. Строго говоря, выводы, к которым мы пришли, меня не слишком удивили, а лишь подтвердили теорию", - говорит Хиппонен. "Хотя с другой стороны, если бы кто-то 10 лет назад сказал мне, что в 2012 году правительства будут создавать троянцев и бэкдоров, используя их для шпионских целей в отношении их же собственных граждан, то я, наверное бы не поверил", - говорит он.
В то же время, он заявляет, что отчасти вина лежит и на самих активистах, которые, осознавая, что их данные - это желанная цель для правительства, зачастую не применяют даже самых простых мер предосторожности, о которых уже десяток лет твердят антивирусные компании.
Источник: CyberSecurity
|
