СБУ задержала распространителя RAT-трояна DarkComet
26 ноября 2018 г., понедельник
Житель Львовской области модифицировал программу и заразил 2000 компьютеров в 50 странах мира.
Сотрудники киберполиции Украины задержали 42-летнего жителя Львовской области. Как сообщила пресс-служба ведомства, он обвиняется в заражении почти 2000 компьютеров в 50 странах мира модифицированной версией DarkComet. Злоумышленник установил центр управления RAT-трояном у себя дома и с него же распространял клиентские версии вредоноса. На этот же компьютер поступали собранные DarkComet данные.
Этот RAT-инструмент существует с 2008 года и изначально предназначался для легитимного управления удаленной системой. После того как в 2012 году программу предположительно использовало правительство Сирии для слежки за оппозиционерами, разработчик Жан-Пьер Лесуар (Jean-Pierre Lesueur) остановил работу над проектом. Однако ПО до сих пор пользуется популярностью у киберпреступников и активно распространяется в сети.
Набор функций, заложенных в DarkComet, позволяет ему шпионить за жертвой и захватить контроль над системой:
- перехват звука с микрофона и видео со встроенных или внешних камер;
- мониторинг нажатий клавиатуры (кейлоггинг);
- создание снимков экрана;
- установка и удаление программ;
- управление реестром;
- включение, выключение и перезагрузка компьютера;Также эксперты установили, что для обхода межсетевого экрана или NAT на сервере жертвы злоумышленник использовал backconnect-соединение — оно позволяло вредоносному софту самостоятельно подключаться к командному серверу.Против жителя Львовской области возбуждено уголовное дело сразу по двум статьям УК Украины — ч. 2 ст. 361 («Незаконное вмешательство в работу компьютеров, систем и компьютерных сетей») и ч. 1 ст. 361-1 («Создание с целью использования, распространения или сбыта вредных программных или технических средств, а также их распространение или сбыт»).
- Каким именно образом происходило заражение, пока не установлено. Как сообщает пресс-служба СБУ, ведется техническая экспертиза изъятой техники, в том числе для определения метода инфицирования.
- Сотрудники киберполиции Украины в ходе обыска изъяли стационарный компьютер и зараженный ноутбук. На первом оперативники нашли панель администратора для доступа к скомпрометированным рабочим столам, установочные файлы программы, а также скриншоты зараженных систем.