Эксперты кибербезопасности раскрыли масштабную шпионскую операцию, скрывавшуюся под видом майнинга криптовалюты. Как оказалось, за вредоносным ПО StripedFly, считавшимся обычным майнером, скрывается хитроумная шпионская платформа, нацеленная на кражу конфиденциальных данных.
Невзрачный майнер обернулся изощренным шпионом
Исследователи впервые обнаружили StripedFly на компьютерах клиентов еще в 2017 году. Тогда ничто не вызывало подозрений – ПО добывало криптовалюту Monero и приносило злоумышленникам сущие копейки. Однако в прошлом году StripedFly всплыл вновь, на этот раз на машинах правительственных учреждений и крупных коммерческих организаций. Эксперты решили тщательно изучить зловреда.
К удивлению специалистов, за фасадом скромного майнера скрывалась многофункциональная шпионская платформа. С 2017 года StripedFly сумел инфицировать более 1 миллиона устройств под управлением Windows и Linux по всему миру. ПО оснащено обширным набором модулей для воровства конфиденциальных данных, включая логины и пароли, документы, скриншоты рабочего стола и записи с микрофона.
Интересные особенности вредоноса
В процессе исследования эксперты обнаружили в StripedFly несколько необычных для шпионского ПО функций.
Во-первых, вредонос использует собственную реализацию клиента анонимной сети Tor для скрытой связи с управляющим сервером. По мнению аналитиков, злоумышленники решили отказаться от стандартных версий Tor, опасаясь возможных уязвимостей или бэкдоров.
Во-вторых, одна из ранних версий StripedFly включала базовый функционал вымогателя ThunderCrypt и использовала тот же сервер для приема команд. Наличие компонента-шифровальщика в инструменте кибершпионажа озадачило специалистов.
Наконец, для первоначального заражения StripedFly применяет эксплойт EternalBlue, разработанный хакерской группировкой АНБ США Equation Group. Эксплуатация уязвимости началась за несколько месяцев до того, как сам эксплойт просочился в Сеть.
Несмотря на загадочное происхождение, StripedFly демонстрирует высочайший уровень сложности и изощренности, превосходящий большинство известных шпионских платформ. К сожалению, постоянно адаптирующиеся киберпреступники остаются на шаг впереди специалистов по безопасности. Чтобы сдержать рост подобных угроз, экспертам необходимо объединять усилия и делиться знаниями. Компаниям же следует не забывать о комплексной защите от кибершпионажа.
