Кіберзброя беларускага КДБ?

Адміністратары сайтаў выявілі, што пад сакрэтным кантролем беларускіх спецслужбаў доўгі час знаходзіліся камп'ютары, а таксама асабістая перапіска праз Skype, электронную пошту і сацыяльныя сеткі не толькі некаторых супрацоўнікаў рэдакцыі Хартыі (камп'ютар кантэнт-адміністратара, які мае доступ толькі да адміністрацыйнай панэлі сайта), але і шэрагу іншых вядомых журналістаў, палітыкаў, грамадскіх дзеячаў, актывістаў.

Траянская сетка, сцвярджае electroname.com, кантралявалася з дапамогай некалькіх скрынь электроннай пошты. Удалося атрымаць доступ да некаторых: boss.bigben@mail.ru і 123asqedws@mail.ru.

Аналіз дасланых вірусамі логаў актыўнасці заражаных кампутараў дазваляе сцвярджаць, што спецслужбы незаконна праслухоўвалі рэдакцыю "Хартыі", Ірыну Халіп, Марыну Коктыш, Сяргея Вазняка, Паўла Марыніча, Алену Новікаву, Віктара Радзькова і многіх іншых людзей. Рабіліся спробы заражэння камп'ютараў Беларускай асацыяцыі журналістаў, адваката Алеся Бяляцкага Змітра Лаеўскага, каардынатара "маўклівых" акцый пратэсту Вячаслава Дыянава. Ці былі тыя спробы паспяховымі - невядома.

Сетка працавала як мінімум з ліпеня 2011 года. Менавіта тады ўпершыню было задакументавана заражэнне аднаго з камп'ютараў. Былі выкрадзеныя паролі ад Skype (гэта дазваляе ўключыць Skype на іншым камп'ютары і паралельна чытаць ўсю перапіску карыстальніка), сацыяльных сетак, e-mail і нават паролі доступу да інтэрнэт-правайдара, запісваліся малюнак дэсктопа з дзеяннямі карыстальніка, капіяванне ў кэш, набор тэксту ў тэкставых рэдактарах, месэнджара.

Зламыснікі выкарысталі тры віды вірусаў: ужо вядомы "вірус КДБ", ці RMS ад TeknotIT, UFR Stealer -- вірус, які заражае кампутар праз флешку, і Keylogger Detective. Гэта так званыя "траяны для школьнікаў". Іх можна вольна купіць у Рунэце за 20-30 долараў.

Удалося ўсталяваць і беларускі IP-адрас, які належыць уладальнікам вірусаў і двух e-mail-аў. Адрас захаваўся ў адпраўленых і тэставых лістах ў абедзвюх паштовых скрынях. Гэты ж самы адрас ёсць у логах нападу на charter97.org і electroname.com - 178.124.157.86. IP-адрас зафіксаваны ў логах e-mail і сервераў пад рознымі датамі, г.зн. адрас статычны і выкарыстоўваецца ўвесь час.

Іншымі словамі, заражэнне камп'ютараў, праслухоўванне і атака на сайты выканана адной і той жа групай.

Варта нагадаць, што Максім Чарняўскі, завербаваны куратарам Дзімам з КДБ, таксама атрымаў заданне ўсталяваць на камп'ютар Вячаслава Дыянава менавіта "вірус" RMS ад TeknotIT.

Прапануем інструкцыю па пошуку і выдаленні вірусаў:

I. KeyloggerDetective

Траянская праграма, вядомая як Keylogger Detective, дэтэктуецца як "modified Win32/PSW.Sycomp.G" (NOD32), "Trojan.MulDrop3.2380" (DrWeb), "Trojan-Spy.Win32.Agent.btzs" (Kaspersky), "TrojanSpy: Win32/Keylogger.BK" (Microsoft), "SHeur3.CKGS" (AVG), "Trojan.ADH" (Symantec), "TrojanSpy.Agent.btzs" (VBA32).

Файл мае памер 87,312 байт. MD5: e740bf2a9539bf4fc4df88cf4e799bf2

Пры запуску стварае дырэкторыю "C: \ Documents and Settings \ <Карыстальнік> \ Application Data \ sysdata", куды капіюе сябе, і захоўвае ў ёй файлы з інфармацыяй аб націснутых клавішах, актыўных вокнах, кліку мышы і змесціва буфера абмену. Файлы, з перацягнутай інфармацыяй, маюць выгляд sys.dat, 0sys.dat, 1sys.dat. Сабраную інфармацыю адпраўляе на паказаны ў праграме паштовую скрыню па меры яе назапашвання.

Для аўтазапуску, пры загрузцы сістэмы, выкарыстоўвае ключ рэестра

HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ yrrrrt2.

Для ручнога выдалення неабходна:

1. прымусова завяршыць працэс svssvc.exe (гл. малюнак);

2. выдаліць дырэкторыю

"C: \ Documents and Settings \ <Карыстальнік> \ Application Data \ sysdata";

3. выдаліць ключ рэестра

HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ yrrrrt2

альбо адключыць аўтазапуск з дапамогай стандартнай ўтыліты msconfig.exe (см профіль Аўтазапуск, элемент svssvc).

Пасля выдалення праграмы рэкамендуецца змяніць паролі ад усіх рэсурсаў, доступ да якіх ажыццяўляўся з заражанай сістэмы.

II. UFR Stealer

Траянская праграма, вядомая як UFR Stealer, дэтэктуецца як "Trojan.PWS.UFR.11" (DrWeb), "Generic23.FQT" (AVG), "Trojan-PSW.Win32.Ruftar.bsa" (Kaspersky), "Trojan: Win32/Anomaly "(Microsoft)," a variant of Win32/Spy.Usteal.A "(NOD32)," Trojan.Khil.23905 "(VBA32)

Файл мае памер 52,736 байт. MD5: 71f950f31c15023c549ef4b33c2bf1e0

Пры запуску збірае лагіны / паролі прыкладак, якія выкарыстоўваюцца ў сістэме. Падтрымлівае крадзеж пароляў ад такіх праграм, як Opera, Firefox, Chrome, Internet Explorer, QIP, MSN Messenger, ICQ, Mail.ru Agent, Pidgin, Google Talk, Miranda, The Bat!, FileZilla, Total Commander і інш Таксама збірае агульную інфармацыю аб сістэме. Захоўвае сабраную інфармацыю ў тэчку ufr_files, у дырэкторыі, дзе была запушчана праграма і спрабуе перадаць сабраныя дадзеныя на паказаны ў целе праграмы паштовую скрыню. Пасля гэтага самоудаляется.

У сістэме не замацоўваецца, таму ручное выдаленне з сістэмы не патрабуецца. Пры выяўленні такога файла выдаліце ​​яго самастойна, не запускаючы.

Вызначыць, ці была запушчана ў вас дадзеная праграма можна па характэрным слядах, якія застаюцца ў сістэме:

* Наяўнасць тэчкі ufr_files на вашым дыску з файламі *. dat, *. bin, *. txt, *. ds;

* Наяўнасць prefetch-файла па шляху:

C: \ Windows \ Prefetch \ ABGREYD.EXE-*. pf.

Пасля выдалення праграмы рекоммендуется змяніць паролі ад усіх рэсурсаў, доступ да якіх ажыццяўляўся з заражанай сістэмы.

III. RMS Trojan

Траянская праграма, пабудаваная на аснове легальнай праграмы для выдаленага адміністравання, вядомай як Remote Manipulator System (http://www.tektonit.ru). Кампаненты, якія з'яўляюцца легальным ПА, не дэтэктуюцца антывіруснымі праграмамі як вредонсоные файлы, аднак инсталятор вызначаецца як "Worm.Autorun-8201" (ClamAV), "Trojan.Generic.6178206" (GData), "Backdoor.BAT.Agent.l" ( Kaspersky), "Backdoor.BAT.Agent.l" (VBA32).

Файл мае памер 2,782,938 байт. MD5: 3299b4e65c7c1152140be319827d6e04

Пры запуску стварае ўтоеную дырэкторыю C: \ Windows \ system32 \ catroot3, куды капіюе розныя кампаненты праграмы выдаленага кіравання, настройвае сістэмны фаервол, стварае схаваны файл C: \ Windows \ system32 \ de.exe. Пасля гэтага запускае праграму выдаленага кіравання і самавыдаляецца з дырэкторыі запуску.

Наяўнасць у сістэме можна вызначыць:

* Па працуючым працэсам rutserv.exe або rfusclient.exe;

* Па наяўнасці утоеных дырэкторыі C: \ Windows \ system32 \ catroot3 і файла C: \ Windows \ system32 \ de.exe;

* Па наяўнасці сэрвісу з імем "TektonIT - R-Server".

Кіраванне ажыццяўляецца па ўласным пратаколе (на аснове TCP), выкарыстоўваючы сервера кампаніі Tekton-IT, якія прадстаўляюцца на бясплатнай аснове.

Для хуткага ручнога выдалення можна скарыстацца дэінсталятарам, які, мабыць, па памылцы, капіюецца ў сістэму разам з астатнімі кампанентамі шкадлівага сэрвісу. Запуск C: \ windows \ system32 \ de.exe выдаліць запісы з рэестра, спыніць працуючы сэрвіс і выдаліць усе кампаненты прыкладкі, у тым ліку і сам файл de.exe.