Naujoji Trojos viruso „MiniDuke“ atmaina, pavadinta „TinyBaron“, arba „CosmicDuke“, buvo taikoma šnipinėti visame pasaulyje. Šalių sąraše pagal aukų skaičių aukščiausias pozicijas užima Gruzija, Rusija, JAV, Didžioji Britanija, Kazachstanas, Indija, Baltarusija, Kipras, Ukraina ir Lietuva. Virusas atakavo valstybines institucijas, energetikos ir telekomunikacijų bendroves, karo organizacijas ir komercines įmones, teikiančias su karo reikmėmis susijusias paslaugas.
Dabar pastebėtos atakos nukreiptos ir prieš privačius asmenis, kurie susiję su neteisėtų arba kontroliuojamų medžiagų, tokių kaip steroidai ir hormonai, pardavimu ir tiekimu.
Virusai „CosmicDuke“ surinkti „BotGenStudio“ platformoje, leidžiančioje individualizuoti kiekvienos aukos šnipinėjimo programą, išleisti individualų kenkėjiškos programinės įrangos atnaujinimą. „Kaspersky Lab“ analitikai mano, kad „BotGenStudio“ platforma gali būti sukurta ne jos kūrėjų šnipinėjimo reikmėms, bet ir parduoti. Iš principo ja gali pasinaudoti ne tik apgavikai, bet ir teisėsaugos institucijos, siekiančios sekti įtariamuosius ar kibernetinius nusikaltėlius.
„Mes įpratę, kad panašios tikslinės kampanijos kuriamos ir vykdomos palaikant valstybei ir siekiant labiau pasaulinių tikslų nei sekti privačius steroidų pardavėjus. Tai galime paaiškinti arba tuo, kad „BotGenStudio“ platforma, kurioje surinktas „CosmicDuke“, prieinama kaip vadinamasis teisėtas sekimo instrumentas (kaip Italijos bendrovės „HackingTeam“ produktas RCS, kuris taikomas specialiųjų tarnybų reikmėms). Arba tuo, kad šie Trojos virusai neteisėtai platinami tarp farmacijos rinkos žaidėjų konkurentams sekti“, – komentavo „Kaspersky Lab“ antivirusų ekspertas Vitalijus Kamliukas.
Priklausomai nuo parametrų „CosmicDuke“ gali skirtingais būdais slapstytis sistemoje, rinkti skirtingus duomenis ir siųsti juos įvairiais būdais. Virusas maskuojasi kaip teisėtas priedas, kurį vartotojai yra pratę matyti interneto naršyklių užduočių lauko sąraše: „Java“, „Acrobat“, „Chrome“ atnaujinimo agentai.
„CosmicDuke“ gali vogti įvairių tipų dokumentus, sekti klaviatūrą ir fotografuoti ekraną, nukopijuoti adresų knygas iš pašto prisegamų priedų, sistemoje bei populiariose pranešimų siuntimo programose išsaugotus slaptažodžius ir sertifikatų failus. Tokiu būdu surinkta informacija perduodama kenkėjų serveriams. Be to, „CosmicDuke“ pasinaudoja visomis galimybėmis, kad funkcionuotų nepertraukiamai. Pavyzdžiui, jį galima paleisti per operacinės sistemos užduočių planuotoją.
Parengta pagal „Kaspersky Lab“ pranešimą