„Dino“: aptiktas naujas šnipinėjantis virusas

ESET pateikia tyrimą apie naujausią kibernetinio šnipinėjimo grėsmę, sukurtą kibernetinių sukčių grupuotės, kuri jau yra žinoma dėl "Babar" ir "Bunny" atakų.

Daugiau nei du dešimtmečius lyderiaujantys IT saugumo sprendimų kūrėjai ESET pristatė naują išsamią analizę, pavadintą „"Dino" – naujo slaptos prancūzų grupuotės šnipinėjančio kenkėjo analizė“. ESET tyrėjai aptiko naują technologiškai pažangų slaptą trojaną, kuris yra naudojamas šnipinėjimo tikslais.

Tyrimo metu surinkti duomenys atskleidžia, jog šis kenkėjas yra sukurtas prancūziškai kalbančių asmenų, o už šį trojaną yra atsakinga liūdnai pagarsėjusi šnipinėjimą vykdanti „Animal Farm“ grupuotė, kuri jau yra žinoma dėl sudėtingų kenkėjiškų Casper, Bunny ir Babar atakų.

„Dino iš esmės yra modulinis slaptas bei labai pažangus per užpakalines duris (angl. backdoor) veikiantis trojanas“, – aiškina ESET kenkėjiškų programų tyrėjas Joan Calvet, kuris atliko šio viruso analizę. – „Šis kenkėjas pasižymi keliomis naujovėmis: jame galima rasti netipinę failų sistemą, kuri naudojama vykdyti komandas slaptai, taip pat sudėtingas užduočių planuoklės (angl. task scheduler) modulis, veikiantis panašiai kaip „cron“ Unix komanda“.

ESET tyrėjas taip pat pažymi sąrašą komandų, kurias priima "Dino" dvejetainė sistema kartu su programišių pasirinktais pavadinimais. Paieškos komanda pasirodė esant itin įdomi, nes leidžia valdytojams surasti ieškomus failus precizišku tikslumu. Pavyzdžiui, kenkėjo valdytojai failų gali ieškoti pažeistose sistemose  pagal konkrečius jų tipus, failų dydžius ir jų paskutinio pakeitimo datos rėžius.

J. Calvet taip pat aptiko dvi papildomas užuominas, kurios rodo, kad „Animal Farm“ kūrėjai yra prancūzai. „Daugiakalbė žodžių formuluotė klaidos žinutėse mums sukėlė įtarimą“, – tęsia Calvet. – „Kalbų kodų vertės, nustatytos kompiliatoriaus, suteikė svaresnius įrodymus, kad kenkėjiškos programos kūrėjai yra prancūzų kalba kalbantys asmenys. Žinoma, yra tikėtina, kad mes esame sąmoningai klaidinami, bet aš įtariu, kad „Animal Farm“ grupė tiesiog pamiršo pakeisti kalbos kodus "Dino" sistemoje“.
Išsamią ESET analizę apie Dino trojaną rasite WeLiveSecurity.com blogo įraše „"Dino" – naujo slaptos prancūzų grupuotės šnipinėjančio kenkėjo analizė“.