Ištyrę aibę incidentų, kuriuose buvo pastebėtas „Adwind“, ir detaliai išnagrinėję jo kenkėjišką programą, „Kaspersky Lab“ ekspertai nustatė, kad grėsmė iki šiol aktyvi ir daugiausia taikoma kibernetinio šnipinėjimo tikslais. Rinkti duomenis pasitelkęs „Adwind“ gali kiekvienas norintis – kad gautum parengtą sekimo instrumentą, pakanka sumokėti už virusą.
Skirtingai nei kitos laisvai įgyjamos kenkėjiškos programos, „Adwind“ platinama atvirai kaip viena platforma. Šiuo atveju klientas moka už virusą kaip už paslaugą, kuria jis gali naudotis. „Kaspersky Lab“ duomenimis, 2015 m. pabaigoje šioje „paslaugų“ sistemoje buvo apie 1800 naudotojų, todėl „Adwind“ tampa viena didžiausių žinomų kenkėjiškų platformų.
Išnagrinėję užsiregistravusių dalyvių paskyras ekspertai priėjo išvadą, kad virusas reikalingas sukčiams, norintiems padidinti savo profesionalumą, nesąžiningiems konkurentams, kibernetiniams samdiniams ir privatiems naudotojams, norintiems sekti savo pažįstamus.
Pirmą kartą „Adwind“ aptiktas 2013 m. Nuo to laiko kibernetinių grėsmių tyrėjai ne kartą sutiko jį skirtingais pavadinimais: „AlienSpy“, „Frutas“, „Unrecom“, „Sockrat“, „JSocket“ ir „jRat“. Pastarąjį kartą virusas „Kaspersky Lab“ ekspertų dėmesį atkreipė 2015 m. pabaigoje, kai buvo bandoma užpulti vieną Singapūro banką – kenkėjiškas failas buvo pridėtas prie vienam iš banko darbuotojų adresuoto šlamštlaiškio.
„Adwind“ sukurtas „Java“ pagrindu, todėl jis geba pulti visas populiarias operacines sistemas, pavyzdžiui, „Windows“, OS X, „Linux“ ir „Android“. Kenkėjiška programa leidžia sukčiams rinkti ir ištraukti iš sistemos duomenis, taip pat nuotoliniu būdu valdyti užkrėstą įrenginį.
Virusas geba atlikti ekrano nuotraukas, įsiminti klaviatūros paspaudimus, vogti slaptažodžius ir duomenis, saugomus naršyklėse ir internetinėse formose, fotografuoti ir įrašyti vaizdo įrašą į įrenginį įmontuotu mikrofonu, rinkti bendrus duomenis apie naudotoją ir sistemą, vogti raktus nuo kriptovaliutinių piniginių, taip pat VPN sertifikatus ir valdyti SMS.
Paprastai „Adwind“ plinta masiniuose šlamštlaiškiuose, todėl jį dažnai naudoja atsitiktiniai žmonės, neplanuojantys sudėtingų ir masinių kampanijų. Tačiau kenkėjiška programa buvo ne kartą pastebėta ir tiksliniuose išpuoliuose – tai liudija, pavyzdžiui, Singapūro banko atvejis. Be to, 2015 m. rugpjūtį vėl atsirado naujienoje apie Argentinos prokuroro, mirusio neaiškiomis aplinkybėmis tų pačių metų sausį, kibernetinį sekimą.
Išnagrinėję apie 200 tikslinių brukalų išpuolių, kuriuose figūravo „Adwind“, „Kaspersky Lab“ ekspertai nustatė, kad dauguma potencialių viruso aukų dirba tokiose srityse, kaip gamyba, finansai, statyba ir projektavimas, mažmeninė prekyba, logistika, telekomunikacijos, programinės įrangos kūrimas, švietimas, sveikatos apsauga, maisto produktų gamyba, energetika, žiniasklaida ir valdžios institucijos. Beveik pusė „Adwind“ aukų yra tik iš 10 šalių: Rusijos, JAE, Vokietijos, Indijos, JAV, Italijos, Vietnamo, Honkongo, Turkijos ir Taivano.
„Adwind“ platformą naudojančiam kibernetiniam nusikaltėliui nereikia itin profesionalių žinių. Prisimenant Singapūro banko atvejį, išpuolį surengęs sukčius toli gražu nebuvo profesionalus programišius. Mes manome, kad dauguma „Adwind“ klientų nėra informacinių technologijų asai. O tai verčia sunerimti, nes kibernetine veikla gali užsiimti kone kiekvienas, įsigijęs laisvai prieinamą kenkėjišką programinę įrangą“, – komentuoja Sergejus Golovanovas, „Kaspersky Lab“ Globalių tyrimų ir analizės komandos saugumo ekspertas.
Daugybė „Adwind“ versijų ir modifikacijų išnagrinėta ir aprašyta įvairių kibernetinio saugumo ekspertų, tačiau platforma iki šiol aktyvi ir masina sukčius. „Kaspersky Lab“ atliko detalų grėsmės tyrimą, kad atkreiptų teisėsaugos institucijų dėmesį ir būtų neutralizuotas plataus ir laisvo „Adwind“ plitimo pavojus. Būtent todėl visas tyrimo detales bendrovė perdavė panašius sprendimus priimančioms institucijoms.