Експерти кібербезпеки розкрили масштабну шпигунську операцію, яка приховувалася під виглядом майнінгу криптовалюти. Як виявилося, за шкідливим ПЗ StripedFly, яке вважалося звичайним майнером, ховається хитромудра шпигунська платформа, націлена на крадіжку конфіденційних даних.
Непоказний майнер обернувся витонченим шпигуном
Дослідники вперше виявили StripedFly на комп'ютерах клієнтів ще 2017 року. Тоді ніщо не викликало підозр – ПЗ добувало криптовалюту Monero і приносило зловмисникам сущі копійки. Однак минулого року StripedFly сплив знову, цього разу на машинах урядових установ і великих комерційних організацій. Експерти вирішили ретельно вивчити шкідника.
На подив фахівців, за фасадом скромного майнера ховалася багатофункціональна шпигунська платформа. З 2017 року StripedFly зумів інфікувати понад 1 мільйон пристроїв під управлінням Windows і Linux по всьому світу. ПЗ оснащене великим набором модулів для крадіжки конфіденційних даних, включно з логінами і паролями, документами, скріншотами робочого столу і записами з мікрофона.
Цікаві особливості шкідника
У процесі дослідження експерти виявили в StripedFly кілька незвичайних для шпигунського ПЗ функцій.
По-перше, шкідник використовує власну реалізацію клієнта анонімної мережі Tor для прихованого зв'язку з керуючим сервером. На думку аналітиків, зловмисники вирішили відмовитися від стандартних версій Tor, побоюючись можливих вразливостей або бекдорів.
По-друге, одна з ранніх версій StripedFly включала базовий функціонал здирника ThunderCrypt і використовувала той самий сервер для прийому команд. Наявність компонента-шифрувальника в інструменті кібершпіонажу спантеличила фахівців.
Нарешті, для початкового зараження StripedFly застосовує експлойт EternalBlue, розроблений хакерським угрупованням АНБ США Equation Group. Експлуатація уразливості почалася за кілька місяців до того, як сам експлойт просочився в Мережу.
Незважаючи на загадкове походження, StripedFly демонструє найвищий рівень складності та витонченості, що перевершує більшість відомих шпигунських платформ. На жаль, кіберзлочинці, які постійно адаптуються, залишаються на крок попереду фахівців з безпеки. Щоб стримати зростання подібних загроз, експертам необхідно об'єднувати зусилля і ділитися знаннями. Компаніям же слід не забувати про комплексний захист від кібершпигунства.
