Безопасность

Программа для шпионажа-то оказалось «просто трояном»!

Remote Control System или RCS, официально тиражируемая шпионская программа оказывается и не содержит необходимого функционала для изобличения преступника в судебном процессе. При этом она располагает возможностью самораспространения и, как заурядный троян, может быть причислена к вредоносным программам.

RCS позиционировался разработчиками (Италия, Hacking Team) в качестве инструментария для сбора и технической экспертизы данных во время расследования преступлений. Но специалисты «Касперского» не смогли обнаружить в нем механизма адекватного копирования данных файловой системы (дампа оперативной памяти), который позволил бы использовать эти данные во время судебной экспертизы.

Их мнение: RCS – самораспространяющаяся вредоносная программа, она предназначена для краж персональных данных, реквизитов для последующего удаленного доступа (к инфицированной системе).

RCS собирает списки контактов, личную переписку, пароли доступа к сервисам. В программе реализован функционал для самораспространения, выполнения функций лишь  для целей заказчика. Она имеет странный функционал: делает лишь то, чего она не должна делать, но, не делая того, что подобная программа должна делать для сбора информации по судебной экспертизе. Например, это выявляется сравнением функциональной идентичности с аналогичными вредоносными программами Morcut, Korablin.

С официальными продажами шпионской RCS (Hacking Team) за $600000, программа скачиваема всеми с сайта OPM Security (Панама) за $200, но как Power Spy. Это сайт «дочки» компании, оказывающей услуги для регистрации в оффшорах компаний, получения второго гражданства и др.

В России специалисты «Лаборатории Касперского» зафиксировали уже две атаки RCS, которая на зараженном компьютере находится в виде файлов и динамической библиотеки, устанавливаемой дополнительными вредоносными программами (дропперы, даунлоадеры). Они устанавливают RCS, распространяясь путем рассылки по почте вредоносных файлов (RAR, ZIP, EXE). RCS атакует с помощью электронного письма с вредоносным файлом (ссылкой на него). Текст письма (как в известном вирусе ILoveYou) рассчитан на открытие пользователем файла, затем ОС заражается.

Это не единственное официально распространяемая программа-шпион. Широко известна Bundestrojaner, используемая немецкими правоохранительными органами для слежки в интернет за подозрительными лицами (автор неизвестен), а также FinSpy (Gamma International) позволяющая следить за мобильными устройствами и ПК подозреваемых.