Белорусские спецслужбы вновь отличились на ниве компьютерного шпионажа.
В апреле в распоряжение charter97.org попал очередной троянец белорусских спецслужб, анализ которого позволил вскрыть и нейтрализовать ботнет, собиравший данные с зараженных компьютеров.
Напомним, в начале января 2012 года специалистам удалось обезвредить и проанализировать аналогичную сеть зараженных компьютеров белорусских политиков, журналистов и общественных деятелей.
Троянскую программу прислали через Skype от неизвестного пользователя журналистке российской «Новой газеты», жене кандидата в президенты на выборах 2010 года Андрея Санникова Ирине Халип. Файл с расширением .scr внешне выглядел как картинка и содержал фото документа с перечнем вопросов для обсуждения на срочном совещании у Лукашенко, а также тело троянца, который незаметно для пользователя инсталлировался в систему (различные версии Windows).
Анализ программы позволил идентифицировать ее как универсальный модульный бот andromeda. Русскоязычный автор бота продает его в интернете по цене от 300 до 900 долларов. В описании программы сказано, что "на основе этого продукта можно построить ботнет с безгранично разнообразными возможностями. Функционал бота расширяется с помощью системы плагинов, которые могут быть подгружены в нужном количестве и в любое время".
Клиентская часть программы находится на комьютере жертвы и собирает данные в зависимости от того, какой плагин используется, а панель управления и архив логов размещаются на сервере в интернете. Специалистам charter97.org удалось получить доступ к логам и выяснить, кто стал жертвой заражения и "прослушки".
Ботнет создан в конце января 2012 года.
Список жертв не оставляет сомнений в том, кто именно управляет ботнетом. Атака оказалась успешной в отношении 15 компьютеров, большинство владельцев которых - белорусские политические и общественные активисты:
- Ольга Козулина (дочь кандидата в президенты на выборах 2006 года и бывшего политзаключенного Александра Козулина),
- анонимный сотрудник Исследовательского центра ИПМ (имени, электронного адреса и skype в логах нет),
- Василий Заднепряный, председатель Республиканской партии труда и справедливости,
- Ассамблея НГО ([email protected], skype: ulkazora, [email protected]),
- анонимный сотрудник белорусского СМИ (в логах указаны папки Outlook Express с рассылками от Дома прессы, БелаПАН, Белта, пресс-релизы, S&P, АСЭ, Институт ПР, Белпрессцентр, Амнистия, Евросоюз),
- кыргызка Жылдыз Апызакова ([email protected]),
- белоруска Юлия Тимофеева (skype: yukla2, [email protected], skype: yltimof, [email protected], [email protected], [email protected]),
- пользователь Michele Petull,
и еще несколько пользователей, личности и род занятий которых установить не удалось.
Но самыми сенсационными оказались логи пользователя "Александр Лебедев". Анализ логов позволяет без сомнений утверждать, что под "прослушку" попала сестра и ближайший помощник российского миллиардера Александра Лебедева Ольга. Известно, что у Александра Лебедева нет персонального компьютера, а всю переписку от его имени ведет сестра. Ольга Лебедева возглавляет, в том числе, и редакционно-издательский дом «Новая газета».
Призываем всех, кто стал жертвой троянской программы, заново установить операционную систему на зараженном компьютере и сменить из безопасного места все пароли от мессенджеров, электронной почты, социальных сетей, онлайн-банкинга и прочих аккаунтов, которыми могут воспользоваться злоумышленники.