Закрыть

Выберите город

Закрыть

КГБ захватил компьютеры политиков и журналистов

КГБ захватил компьютеры политиков и журналистов

Расследование предновогодних взломов charter97.org и electroname.com дало ошеломительный результат.

Оказалось, под негласным контролем белорусских спецслужб длительное время находились компьютеры, а также личная переписка через Skype, электронную почту и социальные сети, не только некоторых работников хартийской редакции (компьютер контент-администратора, имеющего доступ только к административной панели сайта Хартии), но и известных белорусских журналистов, политиков, общественных деятелей, активистов.

Троянская сеть контролировалась с помощью нескольких ящиков электронной почты; удалось получить доступ к некоторым: boss.bigben@mail.ru и 123asqedws@mail.ru.

КГБ захватил компьютеры политиков и журналистов

Анализ присланных вирусами логов активности зараженных компьютеров позволяет утверждать, что спецслужбы незаконно прослушивали редакцию Хартии, Ирину Халип, Марину Коктыш, Сергея Возняка, Павла Маринича, Елену Новикову, Виктора Радькова и многих других людей. Предпринимались попытки заражения компьютеров Белорусской ассоциации журналистов, Дмитрия Лоевского, адвоката Алеся Беляцкого, Вячеслава Дианова, координатора "молчаливых" акций протеста. Были ли попытки успешными - неизвестно.

Сеть работала как минимум с июля 2011 года. Именно тогда установлено первое задокументированное заражение одного из компьютеров. Были украдены пароли от Skype (это позволяет включить Skype на другом компьютере и параллельно читать всю переписку пользователя), социальных сетей, e-mail и даже пароли доступа к интернет-провайдеру, записывалась картинка десктопа с действиями пользователя, копирование в буфер обмена, набор текста в текстовых редакторах, мессенджерах.

Злоумышленники использовали три вида вирусов: уже известный вирус КГБ или RMS от TeknotIT, UFR Stealer - вирус, заражающий компьютер через флешку, и Keylogger Detective. Это так называемые "трояны для школьников". Их можно свободно купить в Рунете за 20-30 долларов.

Удалось установить и белорусский IP-адрес, который принадлежит владельцам вирусов и двух e-mail. Адрес сохранился в отправленных и тестовых письмах в обоих почтовых ящиках. Этот же самый адрес есть в логах нападения на charter97.org и electroname.com - 178.124.157.86. IP-адрес зафиксирован в логах e-mail и серверов под разными датами, т.е. адрес статичный и используется постоянно.

КГБ захватил компьютеры политиков и журналистов

Другими словами, заражение компьютеров, прослушка и атака на сайты выполнена одной и той же группой.

Судя по тому, что Максим Чернявский, завербованный куратором Димой из КГБ, также получил задание установить "вирус" RMS от TeknotIT на компьютер Вячеслава Дианова, можно предположить - эта группа киберпреступников из КГБ.

Предлагаем инструкцию по поиску и удалению вирусов:

I. KeyloggerDetective

Троянская программа, известная как Keylogger Detective, детектируется как "modified Win32/PSW.Sycomp.G" (NOD32), "Trojan.MulDrop3.2380" (DrWeb), "Trojan-Spy.Win32.Agent.btzs" (Kaspersky), "TrojanSpy:Win32/Keylogger.BK" (Microsoft), "SHeur3.CKGS" (AVG), "Trojan.ADH" (Symantec), "TrojanSpy.Agent.btzs" (VBA32).

Файл имеет размер 87,312 байт. MD5: e740bf2a9539bf4fc4df88cf4e799bf2

При запуске создаёт директорию "C:Documents and SettingsApplication Datasysdata", куда копирует себя, и сохраняет в ней файлы с информацией о нажатых клавишах, активных окнах, кликах мыши и содержимом буфера обмена. Файлы, с перехваченной информацией, имеют вид sys.dat, 0sys.dat, 1sys.dat. Собранную информацию отправляет на указанный в программе почтовый ящик по мере её накопления.

Для автозапуска, при загрузке системы, использует ключ реестра
HKCUSoftwareMicrosoftWindowsCurrentVersionRunyrrrrt2.

Для ручного удаления необходимо:

1. принудительно завершить процесс svssvc.exe (см. картинку);

2. удалить директорию
"C:Documents and SettingsApplication Datasysdata";

3. удалить ключ реестра
HKCUSoftwareMicrosoftWindowsCurrentVersionRunyrrrrt2

либо отключить автозапуск с помощью стандартной утилиты msconfig.exe (см раздел Автозапуск, элемент svssvc).

КГБ захватил компьютеры политиков и журналистов

После удаления программы рекоммендуется сменить пароли от всех ресурсов, доступ к которым осуществлялся с зараженной системы.

II. UFR Stealer

Троянская программа, известная как UFR Stealer, детектируется как "Trojan.PWS.UFR.11" (DrWeb), "Generic23.FQT" (AVG), "Trojan-PSW.Win32.Ruftar.bsa" (Kaspersky), "Trojan:Win32/Anomaly" (Microsoft), "a variant of Win32/Spy.Usteal.A" (NOD32), "Trojan.Khil.23905" (VBA32)

Файл имеет размер 52,736 байт. MD5: 71f950f31c15023c549ef4b33c2bf1e0

При запуске собирает логины/пароли приложений, используемых в системе. Поддерживает кражу паролей от таких программ как Opera, Firefox, Chrome, Internet Explorer, QIP, MSN Messenger, ICQ, Mail.ru Agent, Pidgin, Google Talk, Miranda, The Bat!, FileZilla, Total Commander и др. Также собирает общую информацию о системе. Сохраняет собранную информацию в папку ufr_files, в директории, где была запущена программа и пытается передать собранные данные на указанный в теле программы почтовый ящик. После этого самоудаляется.

В системе не закрепляется, поэтому ручное удаление из системы не требуется. При обнаружении такого файла удалите его самостоятельно, не запуская.

Определить была ли запущена у вас данная программа можно по характерным следам, которые остаются в системе:

* Наличие папки ufr_files на вашем диске с файлами *.dat, *.bin, *.txt, *.ds;
* Наличие prefech-файла по пути:
C:WindowsPrefetchABGREYD.EXE-*.pf.

КГБ захватил компьютеры политиков и журналистов

После удаления программы рекоммендуется сменить пароли от всех ресурсов, доступ к которым осуществлялся с зараженной системы.

III. RMS Trojan

Троянская программа, построенная на основе легальной программы для удаленного администрирования, известной как Remote Manipulator System (http://www.tektonit.ru). Компоненты, являющиеся легальным ПО, не детектируются антивирусными программами как вредонсоные файлы, однако инсталятор определяется как "Worm.Autorun-8201" (ClamAV), "Trojan.Generic.6178206" (GData), "Backdoor.BAT.Agent.l" (Kaspersky), "Backdoor.BAT.Agent.l" (VBA32).

Файл имеет размер 2,782,938 байт. MD5: 3299b4e65c7c1152140be319827d6e04

При запуске создает скрытую директорию C:Windowssystem32catroot3, куда копирует различные компоненты программы удаленного управления, настраивает системный фаервол, создаёт скрытый файл C:Windowssystem32de.exe. После этого запускает программу удаленного управления и самоудаляется из директории запуска.

Наличие в системе можно определить:

* по работающим процессам rutserv.exe или rfusclient.exe;

* по наличию скрытых директории C:Windowssystem32catroot3 и файла C:Windowssystem32de.exe;

* по наличию сервиса с именем "TektonIT - R-Server".

Управление осуществляется по собственному протоколу (на основе TCP), используя сервера компании Tekton-IT, предоставляемые на бесплатной основе.

Для быстрого ручного удаления можно воспользоваться деинсталятором, который, видимо, по ошибке атакующих, копируется в систему вместе с остальными компонентами вредноносного сервиса. Запуск C:windowssystem32de.exe удалит записи из реестра, остановит работающий сервис и удалит все компоненты приложения, включая и сам файл de.exe.

После удаления программы рекоммендуется сменить пароли от всех ресурсов, доступ к которым осуществлялся с зараженной системы, а также как можно раньше переустановить всю операционную систему, т.к. она могла быть заражена любыми другими вредоносными программами, которые загрузили с помощью текущей.

Заметили ошибку? Выделите текст, нажмите Ctrl+Enter и оставьте замечание!

Комментарий (Максимум 1000 символов)

Вопрос: Сколько лет в веке? (ответ числом)

Вы знаете что-то интересное или важное и готовы этим поделиться?
Обязательно свяжитесь с нами, это очень просто!

Выберите удобный способ для связи или напрямую отправьте сообщение в редакцию через форму на этой странице.

Govorim.by

vk.com/govorimby

Внимание! Новости рекламного характера публикуются по предварительной договорённости. Подробнее цены на размещение рекламы смотрите здесь

Хотите сэкономить 30% на изготовлении кухни или шкафа-купе?

Новости Беларуси

Уже третий за ноябрь: в Беларуси выполнили еще один смертный приговор

Хотите узнать больше? В Беларуси выполнили еще один смертный приговор — расстрелян Геннадий Яковицкий, неоднократно судимый, признанный виновным в убийстве своей 79

КГК обвинил Госкомимущество в невыполнении поручений президента

Хотите узнать больше? По данным Комитета государственного контроля, Госкомимущество ежегодно не выполняет поручения главы государства по вовлечению в оборот 54

Беларусь присоединилась к международной морской организации

Хотите узнать больше? Беларусь официально стала членом Международной морской организации ООН. Как сообщила пресс-служба Министерства транспорта и коммуникаций, по 45

Правительство компенсирует белорусским банкам потери по экспортным кредитам

Хотите узнать больше? Правительство компенсирует белорусским банкам в 2017-2018 годах потери от предоставления экспортных кредитов, сообщила пресс-служба Совмина. 42

Бывшая сотрудница минского банка сняла со счета вип-клиента крупную сумму

Хотите узнать больше? Прокуратура Заводского района Минска направила в районный суд материалы дела о мошенничестве в особо крупном размере по ч. 4 ст. 209 УК. фото: 213

Белорусы догоняют европейцев по безналичным покупкам

Хотите узнать больше? Переход на новые купюры и монеты привел в Беларуси к резкой популярности безналичных расчетов в рознице. Теперь каждую четвертую покупку в магазине 212

Плохие долги: 270 предприятий переданы в Агентство по управлению активами

Хотите узнать больше? Кредиторская задолженность в сумме 600 млн рублей передана в Агентство по управлению активами. Среди должников -- в основном сельскохозяйственные 186

Белорусским банкам некому выдавать кредиты

Хотите узнать больше? Кредитные портфели банков в 2016 году сократились, хотя денег в финансовых институтах хватает. Не хватает лишь качественных заемщиков. фото: 455