Kenkėjas nutaikytas į diplomatų iPhone, Android įrenginius ir PC

Saugumo ekspertai aptiko dar vieną tarptautinio šnipinėjimo įrankį, kuris yra toks pažangus ir visapusis, kad jį sukurti be kokios nors turtingos šalies pagalbos vargu ar būtų įmanoma.

Blue Coat Labs savo pranešime rašo, kad naujai aptiktas Inception/Cloud Atlas kenkėjas nusitaiko į įrenginius su įdiegta Windows, Android, BlackBerry ir iOS bei duomenų surinkimui naudoja Švedijos kompiuterinių debesų paslaugos Cloudme nemokamas paskyras. Kenkėjas užkrėtęs Android telefoną išsaugo telefoninių skambučių garsinę informaciją mp4 failuose, kurie periodiškai persiunčiami šios atakos iniciatoriams.

Tyrėjai taip pat nustatė ne mažiau kaip 60 mobilių tinklų įvairiose šalyse, kuriuose veikia MMS fišingo ataka skirta užkrėsti žmonių į kuriuos nusitaikyta mobiliuosius įrenginius.

„Be abejonės, už šios atakos stovi puikiai finansuojama ir nepaprastai profesionaliai veikianti organizacija tiksliai nusitaikanti į konkrečius asmenis ir jų tikslai gali būti be galo pavojingi, - rašoma Blue Coat ataskaitoje. „Sudėtingas ir kompleksinis atakų pobūdis rodo automatizuotą labai puikai savo darbą suprantančių asmenų veiklą, o apsaugos sluoksnių skirtų paslėpti tikrąjį užpuoliką kiekis toks didelis, sudėtingas bei pažangus, kad jį galima net pavadinti paranojišku“.

Rusijoje įsikūrusi Kaspersky Lab, trečiadienį paskelbė savo ataskaitą, kurioje antrina Blue Coat išsakytiems nuogastavimams, bei rašo, kad labai tikėtina, kad Inception/Cloud Atlas tai modifikuota „Raudonojo Spalio“ (Red October) vardu žinomo - iki šiol labiausiai pavojingo, technologiškai pažangaus bei sudėtingo šnipinėjimui skirto kenkėjo/platformos versija.

Kiekvienas kenkėjų rinkinys bendrauja su atskira CloudMe paskyra. Atakuotojai ten įkelia duomenis, kuriuos pasiima implantas, juos dešifruoja ir atitinkamai interptetuoja bei savo ruožtu, toje paskyroje, patalpina savo failus. failai talpinami į atsitiktiniais vardais užvadintus aplankus. Duomenų suspaudimui naudojamas LZMA o šifravimui AES, tačiau raktai saugomi kenkėjo kūne ir tai leidžia informaciją iššifruoti iš kenkėjo komandinio centro.

Kenkėjas nutaikomas į vadovus, aukštą padėtį finansuose, inžinerijoje ir naftos industrijose užimančius žmones bei politikos veikėjus, ambasadų darbuotojus ir karininkus. Šalys į kurių atstovus yra taikomasi labiausiai, anot Kaspersky Lab yra: Rusija, Kazachstanas, Baltarusija, Indija ir Čekija, tačiau Blue Coat aptiko šio kenkėjo aktyvumo požymių ir kitose šalyse, tokiose kaip: Rumunija, Venesuela, Mozambikas, Paragvajus ir Turkija.

Visual Basic skriptas į aukų Windows kompiuterius perkelia failus. Kiekvienas perkėlimas yra užšifruotas unikaliu šifravimo raktu ir tai iššifravimą daro neįmanomu neturint specialaus dll failo. Užpuolikai turi ir daugiau būdų slėpti savo pėdsakus bei kontrolės centrą: jie naudoja proksių tinklą sukurtą iš maršrutizatorių, pagrinde esančių Pietų Korėjoje. Vienas iš į CloudMe įkeltų dokumentų pavadintas „Documento sin titulo“ leidžia manyti kad atakuotojai kalba ispaniškai, tai kad didelė dalis tinklo įrangos yra Pietų Korėjoje leidžia spėti, kad jie yra įsikūrę toje pasaulio dalyje, o tai kad atakos paprastai vyksta nuo 8 ryto iki 5 vakaro (GMT+2) leidžia spėti apie netoli esančią laiko zoną. Kai kurie kenkėjų failų komentarai parašyti hindi leidžia spėti apie sąsajas su Indija. BlackBerry skirto kenkėjo kode galima aptikti arabiškų rašmenų, nors kitame kode yra tekstas „God_Save_The_Queen“.

Nežiūrint šios geografinės Sodomos ir Gomoros - „Inception/Cloud Atlas“ turi labai daug technologinių panašumų su „Red October“, nors Raudonasis Spalis naudojo RC4 šifravimą, o Inception/Cloud Atlas įdarbintas AES (Advanced Encryption Standard).

Šią savaitę taip pat aptikta ir dar viena šnipinėjimo kampanija nutaikyta į ambasadas bei vyriausybes iš viso pasaulio.