Кибероружие белорусского КГБ применено к оппозиционным сайтам

кибератакаНакануне Нового года были взломаны независимый информационный сайт «Хартия-97» и сайт IT-новостей electroname.com. Неизвестные злоумышленники удалили часть контента обоих сайтов.

Как рассказывала по горячим следам редактор «Хартии-97» Наталья Радина, преступники получили доступ к административной части системы управления контентом, удалили часть материалов и опубликовали лживую статью о находящемся в заключении Андрее Санникове. Сервер и программная часть сайта взломаны не были. Злоумышленники воспользовались паролем к «админке», где публикуются новости, это не дает права менять скрипты и изменять настройки программной части и сервера.

Вероятно, пароль удалось перехватить с помощью «трояна» на одном из компьютеров работников сайта. «Способ взлома и то, что публиковалось на сайте во время нападения, не оставляет сомнения в заказчике — это дело рук белорусских спецслужб», — отмечала Наталья Радина.

Сегодня сайты charter97.org и electroname.com опубликовали результаты расследования взлома этих сайтов, которое, как утверждают авторы публикации, «дало ошеломительный результат».

«Оказалось, под негласным контролем белорусских спецслужб длительное время находились компьютеры, а также личная переписка через Skype, электронную почту и социальные сети не только некоторых работников хартийской редакции (компьютер контент-администратора, имеющего доступ только к административной панели сайта «Хартии»), но и известных белорусских журналистов, политиков, общественных деятелей, активистов», — говорится в публикации под заголовком «Кибероружие белорусского КГБ»

Троянская сеть контролировалась с помощью нескольких ящиков электронной почты; удалось получить доступ к некоторым: boss.bigben@mail.ru и 123asqedws@mail.ru.

«Анализ присланных вирусами логов активности зараженных компьютеров позволяет утверждать, что спецслужбы незаконно прослушивали редакцию «Хартии», а также Ирину Халип, Марину Коктыш, Сергея Возняка, Павла Маринича, Елену Новикову, Виктора Радькова и многих других людей. Предпринимались попытки заражения компьютеров Белорусской ассоциации журналистов, Дмитрия Лоевского — адвоката Алеся Беляцкого, Вячеслава Дианова — координатора «молчаливых» акций протеста. Были ли попытки успешными — неизвестно», — отмечается в публикации.

Утверждается, что сеть работала как минимум с июля 2011 года. Именно тогда установлено первое задокументированное заражение одного из компьютеров. Были украдены пароли от Skype (это позволяет включить Skype на другом компьютере и параллельно читать всю переписку пользователя), социальных сетей, e-mail и даже пароли доступа к интернет-провайдеру, записывалась картинка десктопа с действиями пользователя, копирование в буфер обмена, набор текста в текстовых редакторах, мессенджерах.

Злоумышленники использовали три вида вирусов: уже известный вирус RMS от TeknotIT, UFR Stealer — вирус, заражающий компьютер через флешку, и Keylogger Detective. Это так называемые «трояны для школьников». Их можно свободно купить в Рунете за 20-30 долларов.

Удалось установить и белорусский IP-адрес, который принадлежит владельцам вирусов и двух e-mail. Адрес сохранился в отправленных и тестовых письмах в обоих почтовых ящиках. Этот же самый адрес есть в логах нападения на charter97.org и electroname.com — 178.124.157.86. IP-адрес зафиксирован в логах e-mail и серверов под разными датами, т.е. адрес статичный и используется постоянно.

«Другими словами, заражение компьютеров, прослушка и атака на сайты выполнена одной и той же группой», — считают авторы публикации.

Они отмечают, что вирус RMS от TeknotIT на компьютер Вячеслава Дианова должен был установить завербованный КГБ, но затем публично отказавшийся от сотрудничества и уехавший в Польшу студент журфака БГУ Максим Чернявский. На этом основании авторы публикации предполагают, что хозяева троянской сети — «это группа киберпреступников из КГБ».

По результатам расследования атаки на сайты «Хартии-97» и electroname.com и выявления троянской сети сотрудники техподдержки ресурсов составили инструкцию по поиску и удалению используемых в этой сети вирусов:

I. KeyloggerDetective

Троянская программа, известная как Keylogger Detective, детектируется как modified Win32/PSW.Sycomp.G (NOD32), Trojan.MulDrop3.2380 (DrWeb), Trojan-Spy.Win32.Agent.btzs (Kaspersky), TrojanSpy:Win32/Keylogger.BK (Microsoft), SHeur3.CKGS (AVG), Trojan.ADH (Symantec), TrojanSpy.Agent.btzs (VBA32).

Файл имеет размер 87,312 байт. MD5: e740bf2a9539bf4fc4df88cf4e799bf2

При запуске создает директорию C:\Documents and Settings\<Пользователь>\Application Data\sysdata, куда копирует себя, и сохраняет в ней файлы с информацией о нажатых клавишах, активных окнах, кликах мыши и содержимом буфера обмена. Файлы с перехваченной информацией имеют вид sys.dat, 0sys.dat, 1sys.dat. Собранную информацию отправляет на указанный в программе почтовый ящик по мере её накопления.

Для автозапуска, при загрузке системы, использует ключ реестра HKCU\Software\Microsoft\Windows\CurrentVersion\Run\yrrrrt2.

Для ручного удаления необходимо:

1. принудительно завершить процесс svssvc.exe (см. картинку);

2. удалить директорию
C:\Documents and Settings\<Пользователь>\Application Data\sysdata;

3. удалить ключ реестра
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\yrrrrt2

либо отключить автозапуск с помощью стандартной утилиты msconfig.exe (см. раздел Автозапуск, элемент svssvc).

После удаления программы рекомендуется сменить пароли от всех ресурсов, доступ к которым осуществлялся с зараженной системы.

II. UFR Stealer

Троянская программа, известная как UFR Stealer, детектируется как Trojan.PWS.UFR.11 (DrWeb), Generic23.FQT (AVG), Trojan-PSW.Win32.Ruftar.bsa (Kaspersky), Trojan:Win32/Anomaly (Microsoft), a variant of Win32/Spy.Usteal.A (NOD32), Trojan.Khil.23905 (VBA32)

Файл имеет размер 52,736 байт. MD5: 71f950f31c15023c549ef4b33c2bf1e0

При запуске собирает логины/пароли приложений, используемых в системе. Поддерживает кражу паролей от таких программ как Opera, Firefox, Chrome, Internet Explorer, QIP, MSN Messenger, ICQ, Mail.ru Agent, Pidgin, Google Talk, Miranda, The Bat!, FileZilla, Total Commander и др. Также собирает общую информацию о системе. Сохраняет собранную информацию в папку ufr_files в директории, где была запущена программа, и пытается передать собранные данные на указанный в теле программы почтовый ящик. После этого самоудаляется.

В системе не закрепляется, поэтому ручное удаление из системы не требуется. При обнаружении такого файла удалите его самостоятельно, не запуская.

Определить, была ли запущена у вас данная программа, можно по характерным следам, которые остаются в системе:

* Наличие папки ufr_files на вашем диске с файлами *.dat, *.bin, *.txt, *.ds;
* Наличие prefech-файла по пути:
C:\Windows\Prefetch\ABGREYD.EXE-*.pf.

После удаления программы рекомендуется сменить пароли от всех ресурсов, доступ к которым осуществлялся с зараженной системы.

III. RMS Trojan

Троянская программа, построенная на основе легальной программы для удаленного администрирования, известной как Remote Manipulator System (http://www.tektonit.ru). Компоненты, являющиеся легальным ПО, не детектируются антивирусными программами как вредонсоные файлы, однако инсталятор определяется как Worm.Autorun-8201 (ClamAV), Trojan.Generic.6178206 (GData), Backdoor.BAT.Agent.l (Kaspersky), Backdoor.BAT.Agent.l (VBA32).

Файл имеет размер 2,782,938 байт. MD5: 3299b4e65c7c1152140be319827d6e04

При запуске создает скрытую директорию C:\Windows\system32\catroot3, куда копирует различные компоненты программы удаленного управления, настраивает системный фаервол, создает скрытый файл C:\Windows\system32\de.exe. После этого запускает программу удаленного управления и самоудаляется из директории запуска.

Наличие в системе можно определить:

* по работающим процессам rutserv.exe или rfusclient.exe;

* по наличию скрытых директорий C:\Windows\system32\catroot3 и файла C:\Windows\system32\de.exe;

* по наличию сервиса с именем TektonIT — R-Server.

Управление осуществляется по собственному протоколу (на основе TCP), используя сервера компании Tekton-IT, предоставляемые на бесплатной основе.

Для быстрого ручного удаления можно воспользоваться деинсталятором, который, видимо, по ошибке атакующих, копируется в систему вместе с остальными компонентами вредоносного сервиса. Запуск C:\windows\system32\de.exe удалит записи из реестра, остановит работающий сервис и удалит все компоненты приложения, включая и сам файл de.exe.

После удаления программы рекомендуется сменить пароли от всех ресурсов, доступ к которым осуществлялся с зараженной системы, а также как можно раньше переустановить всю операционную систему, т.к. она могла быть заражена любыми другими вредоносными программами, которые загрузили с помощью текущей.


Источник.

1 коммент

  1. Они могут и не палиться антивирусами вовсе, Keylogger Detective к примеру, авторы постоянно обновляют и новые версии не палятся антивирусами. Также никто не отменял крипторы.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Введите капчу. *