ESET: Неизвестные в течение нескольких лет распространяли в Рунете TrueCrypt с бэкдором

image

Теги: троян, бэкдор, кибершпионаж

Бэкдор содержали только копии, предназначенные для определенных пользователей.

По данным специалистов ИБ-компании ESET Роберта Липовски (Robert Lipovsky) и Антона Черепанова, по крайней мере с июня 2012 года и до настоящего времени с российского ресурса truecryptrussia.ru распространяется содержащая бэкдор версия инструмента TrueCrypt – свободного программного обеспечения, используемого для шифрования «на лету».

Как следует из отчета, неизвестные, стоявшие за атакой, выбирали жертв, следуя своим критериям, что позволяет предположить о причастности профессиональных хакеров, занимавшихся кибершпионажем. Это может служить объяснением тому, что деятельность злоумышленников долгое время оставалась незамеченной. Что любопытно, не все копии приложения TrueCrypt содержали бэкдор, а только те, которые были предназначены для определенных пользователей. Домен truecryptrussia.ru также работал как C&C-сервер, отправляя инструкции на зараженные компьютеры и собирая похищенную информацию, такую как пароли и другие важные данные.

Специалисты квалифицировали зараженную версию TrueCrypt как Win32/FakeTC. Она является только одной из семейства программ-шпионов Potao, нацеленных на пользователей из стран постсоветского пространства – Украины, России, Грузии и Беларуси.

По данным специалистов, операция Potao ведется с 2011 года. Сперва троян распространялся по электронной почте в виде исполняемых файлов с пиктограммой Microsoft Word. В 2012 году программа была использована в фишинговой кампании, нацеленной на участников финансовой пирамиды МММ.

В марте 2015 года исследователи ESET зафиксировали кампанию с использованием Potao, нацеленную на ряд правительственных и военных организаций Украины, а также одно крупное новостное агентство страны. В ходе кампании злоумышленники применили старую тактику, распространяя троян в виде исполняемых файлов с пиктограммой Microsoft Word, содержащих хорошо продуманные имена файлов, увеличивая вероятность того, что жертва клюнет на наживку и откроет документ.

Подробнее с отчетом можно ознакомиться здесь

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.