Жертвами Strider становятся избранные цели в России, Китае, Швеции и Бельгии.
Исследователи из компании Symantec сообщили о ранее неизвестной группировке Strider, занимающейся кибершпионажем. Жертвами злоумышленников становятся избранные цели в России, Китае, Швеции и Бельгии. В ходе атак хакеры из Strider используют сложное вредоносное ПО Remsec.
По словам экспертов, им удалось обнаружить возможную связь Strider с атаками уже известной группировки Flamer (в частности использование модулей Lua). Одна из целей Strider ранее также была инфицирована шпионским ПО Regin.
Обнаруженная Symantec группировка действует по крайней мере с октября 2011 года, и до недавнего времени о ней ничего не было известно. Жертвами Strider являются как отдельные пользователи, так и целые организации, интересующие правительственные спецслужбы. Как показал анализ образца вредоносного ПО, полученного исследователями от одного из клиентов Symantec, Remsec разработан специально для шпионажа. Вредонос выполняет функции бэкдора и кейлоггера (в его коде упоминается главный антигерой саги «Властелин колец» Саурон), а также похищает хранящиеся на зараженном компьютере файлы.
В общей сложности исследователи обнаружили следы инфицирования Remsec лишь на 36 компьютерах в семи не связанных между собой организациях (в том числе на системах нескольких российских пользователей и организаций, китайской авиакомпании, шведской организации и посольства в Бельгии).
Remsec состоит из ряда модулей, работающих вместе как фреймворк, позволяющий злоумышленнику получить полный контроль над инфицированным компьютером, перемещаться внутри сети, похищать данные и при необходимости использовать дополнительные модули.
Избежать обнаружения вредоносу удается несколькими способами. К примеру, некоторые компоненты Remsec представляют собой исполняемые BLOB-объекты (Binary Large Objects), которые весьма сложно обнаружить с помощью традиционных антивирусных решений. В добавок, большая часть функционала Remsec развертывается по сети, а значит, он сохраняется не на диске, а только в памяти компьютера.
Поскольку хакеры из Strider способны создавать собственные вредоносные инструменты и оставались необнаруженными в течение как минимум пяти лет, по мнению исследователей, они могут работать на правительство какого-нибудь государства.
Обновлено: Независимо от Symantec деятельность группировки была зафиксирована исследователями «Лаборатории Касперского». Из-за упоминания в коде Саурона эксперты назвали используемое злоумышленниками вредоносное ПО ProjectSauron. По данным ЛК, жертвами APT-группы являются свыше 30 организаций в России, Руанде и Иране. Подробнее ознакомиться с отчетом «Лаборатории Касперского» о деятельности ProjectSauron можно здесь .
От классики до авангарда — наука во всех жанрах