Программа для шпионажа-то оказалось «просто трояном»!23.04.2014
Remote Control System или RCS, официально тиражируемая
шпионская программа оказывается и не содержит необходимого функционала для
изобличения преступника в судебном процессе. При этом она располагает
возможностью самораспространения и, как заурядный троян, может быть причислена
к вредоносным программам. RCS позиционировался разработчиками (Италия, Hacking
Team) в качестве инструментария для сбора и технической экспертизы данных во
время расследования преступлений. Но специалисты «Касперского» не смогли
обнаружить в нем механизма адекватного копирования данных файловой системы
(дампа оперативной памяти), который позволил бы использовать эти данные во время
судебной экспертизы. Их мнение: RCS – самораспространяющаяся вредоносная
программа, она предназначена для краж персональных данных, реквизитов для
последующего удаленного доступа (к инфицированной системе). RCS собирает списки контактов, личную переписку, пароли
доступа к сервисам. В программе реализован функционал для самораспространения,
выполнения функций лишь для целей
заказчика. Она имеет странный функционал: делает лишь то, чего она не должна
делать, но, не делая того, что подобная программа должна делать для сбора
информации по судебной экспертизе. Например, это выявляется сравнением
функциональной идентичности с аналогичными вредоносными программами Morcut,
Korablin. С официальными продажами шпионской RCS (Hacking Team) за
$600000, программа скачиваема всеми с сайта OPM Security (Панама) за $200, но
как Power Spy. Это сайт «дочки» компании, оказывающей услуги для регистрации в
оффшорах компаний, получения второго гражданства и др. В России специалисты «Лаборатории Касперского»
зафиксировали уже две атаки RCS, которая на зараженном компьютере находится в
виде файлов и динамической библиотеки, устанавливаемой дополнительными
вредоносными программами (дропперы, даунлоадеры). Они устанавливают RCS,
распространяясь путем рассылки по почте вредоносных файлов (RAR, ZIP, EXE). RCS
атакует с помощью электронного письма с вредоносным файлом (ссылкой на него).
Текст письма (как в известном вирусе ILoveYou) рассчитан на открытие
пользователем файла, затем ОС заражается. Это не единственное официально распространяемая
программа-шпион. Широко известна Bundestrojaner, используемая немецкими
правоохранительными органами для слежки в интернет за подозрительными лицами
(автор неизвестен), а также FinSpy (Gamma International) позволяющая следить за
мобильными устройствами и ПК подозреваемых.
|