Найден «самый передовой» троян, поражающий Windows, Mac OS X, Linux, iOS и Android

Интернет Безопасность Стратегия безопасности Новости поставщиков
мобильная версия
, Текст: Владислав Мещеряков
Исследователи «Лаборатории Касперского» называют вновь обнаруженный шпионский троян Careto самой сложной киберугрозой. Троян способен заражать компьютеры, работающие на всех популярных платформах: Windows, Mac OS X, Linux, iOS и Android.

«Лаборатория Касперского» заявила об обнаружении «самой передовой» сети кибершпионажа, названной Careto (от испанского харя, рожа). На русском языке сети и связанный с ней троян названы «Маска», на английском - The Mask.

Название Careto исследователи дали трояну, обнаружив это слово в коде нескольких его модулей. В номенклатуре «Касперского» он детектируется как Trojan.Win32/Win64.Careto.* в версии для Windows и Trojan.OSX.Careto в версии для Mac OS X.

Одна из самых интересных особенностей Careto - наличие в сети троянов, разработанных для различных платформ, в том числе, помимо Windows, для Mac OS X, Linux, Android, и, вероятно, iOS.

Судя по данным «Лаборатрии Касперского», целью атаки Careto, как и в случае с другими шпионскими сетями, были госорганизации, дипломатические офисы и посольства, энергетические и нефтегазовые компании, исследовательские организации и компьютеры политических активистов.

В «Касперском» говорят, что атаке подверглись в общей сложности 380 целей в 31 стране мира, в том числе в Аргентине, Бельгии, Боливии, Бразилии, Великобритании, Венесуэле, Египте, Испании, Китае, Колумбии, на Кубе, в Ливии, Норвегии, Польше, США, ЮАР, странах Латинской Америки, Африки и Ближнего Востока. Интересно, что Россию в числе стран - жертв Careto исследователи «Касперского» не упомянули.

Задачей создателей Careto было похищение из зараженных систем документов, ключей шифрования, настроек VPN, файлов программ удаленного доступа и других данных.

Судя по меткам компиляторов, наблюдаемых в модулях трояна, его разработка началась в 2007 г., однако большинство модулей были созданы в 2012 г. В настоящее время все известные командные сервера Careto находятся в автономном режиме (то есть не контактируют с зараженными системами), сообщает «Лаборатория Касперского». Кроме того, сообщает компания, ее специалисты смогли захватить несколько серверов, что позволило им изучить сеть.


Карта заражений Careto. Нажмите, чтобы увеличить

Заражение вновь открытым трояном Careto происходит с помощью рассылок по электронной почте писем, содержащих ссылки на поддельные сайты, способные инфицировать ПК различными вредоносными программами в зависимости от конфигурации системы. После успешного заражения вредоносный сайт перенаправляет пользователя на доброкачественный сайт, ссылка на который содержалась в электронном письме.

Инфицирование системы Careto приводит к последствиям, которые эксперты «Лаборатории Касперского» называют катастрофическими. Троян перехватывает все каналы связи системы и имеет возможность собрать в ней интересующие данные. В дополнение к встроенной функциональности, Careto может подгружать дополнительные модули, обеспечивающие выполнение других вредоносных задач.

Интересно, что сами вредоносные сайты не заражают своих посетителей в случае захода с главной страницы. Эксплойты для инфицирования хранятся на этих сайтах в специальных каталогах, куда можно попасть только по ссылкам из рассылаемых писем.

Важно отметить, что троян Careto известен не только в версии для Windows, но и для Mac OS X. Некоторые из эксплойтов содержат модули, по всей видимости разработанные для заражения компьютеров, работающих на Linux, но, сообщают эксперты «Лаборатории Касперского», пока нет понимания, какой бэкдор Linux используется злоумышленниками. Изучение командного сервера трояна показывает, что могут существовать и варианты трояна для Android и iOS.

Чрезвычайная сложность инструментария, использованного разработчиками, позволяет назвать этот троян «самым передовым» из всех известных. Способность использовать уязвимости в старых продуктах «Касперского», чтобы оставаться невидимым в системе, ставит его выше знаменитого кибероружия Duqu, и делает самой сложной киберугрозой на настоящий момент, говорит Костин Райю, руководитель глобального исследовательского центра «Лаборатории Касперского».

Высокая сложность Careto и нетипично высокий уровень самозащиты заставляют предполагать, что это разработка, сделанная в интересах какого-либо правительства и при государственной поддержке. Определение заказчика трояна - трудная задача, говорят эксперты «Лаборатории Касперского», однако, предполагают они, разработчики трояна говорят по-испански. Это может указывать на заказчика как в Испании и в странах Латинской Америки, так и в США, где существуют крупные испаноязычные диаспоры, например, во Флориде и в Калифорнии.