 |
 |
Home | | | |
Short News | | | |
Long News | | | |
Long Reads | | | |
Support | | | |
Library |
16 апреля, вторник, 00:00
|
|
Home | | | |
Short News | | | |
Long News | | | |
Long Reads | | | |
Support | | | |
Library |
Программист из Огайо обвиняется в заражении тысяч компьютеров, краже личных данных и слежке за людьми в течение 13 лет.
Филиппу Дурачинскому, 28-летнему жителю штата Огайо, 10 января 2017 года предъявлено обвинение по 16 различным статьям в связи с созданием вредоносного ПО FruitFly. В течение 13 лет программа позволяла ему тайно манипулировать тысячами зараженных компьютеров, шпионить за пользователями и красть их персональные данные, включая логины, пароли, налоговые декларации, медицинские карточки, банковские выписки, фотографии, историю поиска в браузере и личную переписку в чатах и мессенджерах.
В пресс-релизе окружной прокуратуры США говорится: «Дурачинский с 2003 года по 20 января 2017 года разработал схему доступа к тысячам защищенных компьютеров, принадлежащих частным лицам, компаниям, школам, полицейскому управлению и правительству, включая дочернюю компанию Министерства энергетики США. Он создал вредоносную программу, впоследствии названную FruitFly, устанавливал ее на компьютеры и на каждом из них получал доступ к сохраненным данным, имел возможность загружать файлы, делать скриншоты, регистрировать нажатия клавиш пользователя, а также включать камеру и микрофон для незаметной записи видео и аудио».
В обвинительном заключении также сказано, что Дурачинский разработал панель управления, которая позволила ему просматривать видео в реальном времени с нескольких зараженных машин одновременно и делать записи. В нескольких случаях на видео с откровенным сексуальным содержанием нашли несовершеннолетних, что можно рассматривать как изготовление детской порнографии.
ФБР арестовало Дурачинского в январе 2017 года, когда шло расследование появления вредоносных программ в университете Case Western Reserve в Кливленде. Эксперты обнаружили в том числе и FruitFly, и след вывел полицию на Дурачинского.
FruitFly впервые обнаружили в январе прошлого года в биомедицинском исследовательском центре, где системный администратор обратил внимание на странный исходящий сетевой трафик с одного из MacBook, принадлежащих учреждению.
Томас Рид (Thomas Reed), исследователь MalwareBytes, занялся изучением зловреда и пришел к выводу, что программа использует сильно устаревшие вызовы системных функций, причем некоторые из них появились раньше, чем OS X. Кроме того, для открытия или создания файлов в формате JPG вредонос использовал код libjpeg из библиотеки, которая последний раз обновлялась в 1998 году. Одновременно с этим Рид обнаружил, что в коде FruitFly учтены изменения, внесенные в версию макроса Yosemite macOS в 2015 году. Сочетание старой библиотеки кодов и обновлений в соответствии с выходом новых версий ПО заставило Рида придти к выводу, что вредоносная программа существует уже не менее 10 лет.
«Мне приходит в голову только одна причина, по которой этот вредонос до сих пор не был обнаружен, и она заключается в том, что программу используют только для целевых атак, стараясь ее не засвечивать», — прокомментировал исследователь. Этот вывод подтверждается обвинительным заключением, где говорится, что FruitFly посылал Дурачинскому сигнал, когда жертвы печатали слова, связанные с порнографией.
Томас Рид также заинтересовался наличием команд оболочки Linux в исходном скрипте, что побудило его запустить зловред на машине с этой операционной системой, и тот с ней «отлично справился». Одновременно эксперт нашел и вредоносную программу на базе Windows, которая подключалась к тем же серверам управления, что и FruitFly. Тем не менее, в обвинительном заключении нет никакой информации о версии вредоноса для Windows или Linux.
В июле прошлого года Патрик Уордл (Patrick Wardle), исследователь из компании Synack, специализирующийся на вредоносном ПО для Mac, нашел новую версию FruitFly. После дешифровки имен нескольких резервных доменов, вшитых в код программы, он обнаружил, что адреса все еще доступны. Зарегистрировав один из них, он за два дня выявил почти 400 зараженных компьютеров, подсоединившихся к его серверу, в основном из частных домовладений США. При этом Уордл имел над ними такой же контроль, как и создатель зловреда.
В интервью Forbes исследователь сказал, что считает основной целью FruitFly наблюдение.
«Это не похоже на поведение других киберпреступников. Не было ни рекламных блоков, ни кейлоггеров, ни программ-вымогателей. Его особенность в том, что он действует, поддерживая интерактивность: может предупредить злоумышленника, когда пользователь что-то делает за компьютером, может воспроизводить щелчки мыши и клавиатуры».
О своих выводах Уордл сообщил сотрудникам правоохранительных органов, а также рассказал на конференции Black Hat. Неизвестно, было ли его свидетельство доказательством, позволившим ФБР вынести обвинение Дурачинскому, или тот уже был в списке подозреваемых.
 |
нравится | не нравится |  |
Рейтинг: | 0 |
Всего голосов: 0 |
19:45 |
||
17:45 |
||
14:45 |
||
12:45 |
||
11:45 |
||
09:45 |
||
09:45 |
||
19:45 |
||
18:45 |
||
16:45 |
||
15:45 |
||
14:45 |
||
13:45 |
||
10:45 |
||
10:45 |
||
09:45 |
||
19:45 |
||
19:45 |
| Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library | | | Blogs | | | Links |
