Operacija Potao Express: Ukrainoje, Rusijoje ir Baltarusijoje aptiktas naujas šnipinėjantis virusas
Kibernetiniai sukčiai pagauti šnipinėjantys svarbias Ukrainos, Rusijos ir Baltarusijos institucijas bei jų užkoduotus duomenis.
Daugiau nei du dešimtmečius lyderiaujantys IT saugumo sprendimų kūrėjai ESET praneša naujo tyrimo rezultatus. ESET kenkėjiškų programų tyrėjai pateikia išsamią analizę apie operaciją Potao Express, kurios metu aptikta nauja šnipinėjanti virusų šeima Rytų Europoje kodiniu pavadinimu Win32/Potao.
Naujausioje tyrimo ataskaitoje, pavadintoje „Operacija Potao Express“ atskleidžiamos techninės kenkėjiškos programos detalės, apibūdinami mechanizmai, kuriais naudojantis plinta virusas. Taip pat aptariamos svarbiausios atakos, kurios pirmą kartą pasirodė dar 2011 metais.
Panašus į anksčiau tirtą virusą BlackEnergy, Potao buvo naudojamas šnipinėti Ukrainos vyriausybę, karines institucijas ir vieną iš pagrindinių Ukrainos naujienų agentūrų. Taip pat buvo šnipinėjami Rusijoje ir Ukrainoje populiarios finansinės piramidės MMM nariai.
Pasak ESET saugumo sprendimus platinančios įmonės „Baltimax“ produktų vadovo Deivido Švėgždos, Win32/Potao yra vienas iš šnipinėjančių kenkėjiškų programų pavyzdžių. „Potao šeimos virusai apibūdinami kaip tipiškas šnipinėjantis trojanas, kuris vagia slaptažodžius ir kitą jautrią informaciją, kad juos pasiūlytų užsakovų serveriui“, – sako D. Švėgžda.
Specialistų duomenimis, daugiausia jo pėdsakų randama Ukrainoje ir daugumoje esamų ar buvusių Nepriklausomos valstybių sandraugos (NVS) šalių, įskaitant Rusiją, Gruziją ir Baltarusiją, todėl atakos gali būti siejamos su dabartine geopolitine situacija.
Taip pat svarbu pabrėžti, kad nors kenkėjas vykdė įvairias atakas, tačiau apie Win32/Potao randama viena įdomi detalė.
„Mūsų tyrimas apie virusą Potao atskleidė vieną įdomią sąsają su rusiškąja dabar jau nebeveikiančia populiaria atviro kodo šifravimo programine įranga TrueCrypt“, – sako ESET vyresnysis kenkėjiškų programų tyrėjas Robert Lipovsky.
Atliekant tolimesnį tyrimą, ESET tyrėjai aptiko dar vieną sąsają tarp trojanizuoto TrueCrypt ir truecryptrussia.ru tinklalapio, kuris ne tik tam tikrais atvejais teikė apkrėstą šifravimo programinę įrangą, bet ir veikė kaip serverio komandos ir kontrolės (angl. command and control – C&C) dalis per užpakalines duris (angl. backdoor).
Daugiau apie „Operaciją Potao Express: šnipinėjančio viruso priemonių analizė“ rasite tinklaraštyje WeLiveSecurity.com.
ESET kenkėjiškų programų tyrėjų Robert Lipovsky ir Anton Cherepanov parengtą tyrimo ataskaitą PDF formatu rasite šioje nuorodoje:
http://www.welivesecurity.com/
Informacijos šaltinis: pranešimas žiniasklaidai.