Архив метки: троян

25 стран используют троян FinFisher для слежки

Организация The Citizen Lab опубликовала результаты исследования серверов троянской программы FinSpy (FinFisher). Известно, что эту троянскую программу используют правоохранительные органы в разных странах мира для скрытого наблюдения за преступниками или политическими активистами. Троян устанавливается на мобильные телефоны всех популярных платформ, осуществляет запись разговоров и другой конфиденциальной информации. Все данные отправляются на сервер, принадлежащий правоохранительным органам.

Вредоносную программу FinSpy разработала компания Gamma Group International (Мюнхен, Германия), а продажей занимается дочерняя компания Gamma Group в Великобритании. Покупателями трояна могут быть только государственные организации.

Анализ серверов позволяет составить полный список стран-«клиентов» Gamma Group.

IP Оператор Страна
117.121.xxx.xxx GPLHost Австралия
77.69.181.162 Batelco ADSL Service Бахрейн
180.211.xxx.xxx Telegraph & Telephone Board Бангладеш
168.144.xxx.xxx Softcom, Inc. Канада
168.144.xxx.xxx Softcom, Inc. Канада
217.16.xxx.xxx PIPNI VPS Чехия
217.146.xxx.xxx Zone Media UVS/Nodes Эстония
213.55.99.74 Ethio Telecom Эфиопия
80.156.xxx.xxx Gamma International GmbH Германия
37.200.xxx.xxx JiffyBox Servers Германия
178.77.xxx.xxx HostEurope GmbH Германия
119.18.xxx.xxx HostGator Индия
119.18.xxx.xxx HostGator Индия
118.97.xxx.xxx PT Telkom Индонезия
118.97.xxx.xxx PT Telkom Индонезия
103.28.xxx.xxx PT Matrixnet Global Индонезия
112.78.143.34 Biznet ISP Индонезия
112.78.143.26 Biznet ISP Индонезия
117.121.xxx.xxx GPLHost Малайзия
187.188.xxx.xxx Iusacell PCS Мексика
201.122.xxx.xxx UniNet Мексика
164.138.xxx.xxx Tilaa Нидерланды
164.138.28.2 Tilaa Нидерланды
78.100.57.165 Qtel – Government Relations Катар
195.178.xxx.xxx Tri.d.o.o / Telekom Srbija Сербия
117.121.xxx.xxx GPLHost Сингапур
217.174.229.82 Ministry of Communications Туркменистан
72.22.xxx.xxx iPower, Inc. США
166.143.xxx.xxx Verizon Wireless США
117.121.xxx.xxx GPLHost США
117.121.xxx.xxx GPLHost США
117.121.xxx.xxx GPLHost США
117.121.xxx.xxx GPLHost США
183.91.xxx.xxx CMC Telecom Infrastructure Company Вьетнам

«Лаборатория Касперского» выявила на Ближнем Востоке сложную вредоносную программу, которую специалисты отнесли к классу кибероружия

Обнаружен сложный банковский троян государственного масштаба

Текст: Владимир Парамонов

«Лаборатория Касперского» в ходе масштабной кампании, инициированной Международным союзом электросвязи (МСЭ), выявила на Ближнем Востоке сложную вредоносную программу, которую специалисты отнесли к классу кибероружия.

Троян Gauss, названный по имени немецкого математика Иоганна Карла Фридриха Гаусса, имеет шпионский функционал и осуществляет кражу финансовой информации пользователей заражённых компьютеров. Программа скрытно пересылает на серверы управления пароли, введённые или сохранённые в браузере, файлы cookie, историю посещаемых сайтов, а также подробности конфигурации инфицированной системы, в частности сведения о сетевых интерфейсах, дисковых накопителях и данные BIOS.

 

Страны, пострадавшие от Gauss сильнее всего (иллюстрация «Лаборатории Касперского»).

Страны, пострадавшие от Gauss сильнее всего (иллюстрация «Лаборатории Касперского»).

 

Отмечается, что Gauss имеет сходство со сложнейшей кибершпионской программой Flame, наделавшей много шума минувшей весной (подробности здесь и здесь). Это касается архитектуры, модульной структуры, а также способов связи с серверами управления. Ещё одной важной особенностью Gauss является то, что он заражает USB-накопители, используя ту же уязвимость, что и Flame.

Исследование показало, что первые случаи заражения Gauss относятся к сентябрю 2011 года. Однако командные сервера вредоносной программы прекратили свою работу только в июле 2012-го. Хотя точный способ заражения ещё не установлен, специалисты полагают, что распространение Gauss происходит по иному сценарию, нежели Flame. При этом оно строго контролируется, что говорит о намерении злоумышленников как можно дольше оставаться незамеченным.

Больше всего от Gauss пострадали Ливан, Израиль и Палестина; общее количество инфицированных компьютеров составляет около 2,5 тыс. Программа может красть конфиденциальную информацию у клиентов ряда ливанских банков, таких как Bank of Beirut, EBLF, BlomBank, ByblosBank, FransaBank и Credit Libanais. Кроме того, его целью являются клиенты Citibank и пользователи электронной платёжной системы PayPal.

«Gauss — это сложная программа, предназначенная для ведения кибершпионажа с особым акцентом на скрытность действий», — рассказывают специалисты. — Троян заражает пользователей в определённых странах и крадёт большие объёмы данных. Причём особый интерес для него представляет финансовая информация».

Подготовлено по материалам «Лаборатории Касперского».