«Лаборатория Касперского» заявила об обнаружении нового зловреда ЦРУ

Kate

Administrator
Команда форума
«Лаборатория Касперского» заявила, что обнаружила новое вредоносное ПО, которое, по всей видимости, было разработано Центральным разведывательным управлением США. Фирма сообщила, что обнаружила зловред в «наборе образцов вредоносного ПО», полученном аналитиками и другими службами безопасности в феврале 2019 года.

16e8b4ba2ff73d63a6dac03d44b147f9.jpg

Хотя первоначальный анализ не обнаружил сходства кода с какими-либо ранее известными образцами вредоносных программ, но «Лаборатория Касперского» недавно повторно проанализировала файлы и обнаружила, что в них есть «пересечения шаблонов кодирования, стиля и методов, которые были замечены в различных программах семейства Lambert». Под этим кодовым названием фирма отслеживает хакерские операции ЦРУ.

Четыре года назад, после того как WikiLeaks раскрыла общественности возможности ЦРУ в серии утечек, известных как Vault7, американская охранная компания Symantec публично связала хакерские инструменты Vault7 с ЦРУ и Longhorn APT (еще одно отраслевое название Lambert).

«Лаборатория Касперского» говорит, что, учитывая общее сходство между этими недавно обнаруженными образцами и прошлыми вредоносными программами ЦРУ, новый кластер вредоносных программ получил название Purple Lambert.

Судя по метаданным Purple Lambert, образцы вредоносного ПО были собраны семь лет назад, в 2014 году. ИБ-исследователи заявили, что не фиксировали реальных случаев использования этого ПО, но считают, что его развернули не позднее 2015 года.

В описании Purple Lambert сказано, что вредоносное ПО действовало как бэкдор-троян, который прослушивал сетевой трафик для определенных пакетов, которые могли активировать его на зараженных хостах.

«Лаборатория Касперского» приводит полное описание зловреда в ежеквартальном отчете. По данным фирмы, Purple Lambert состоит из нескольких модулей, а его сетевой модуль способен предоставить злоумышленнику основную информацию о зараженной системе и выполнить полученную полезную нагрузку. Его функциональность напоминает Grey Lambert, который, в свою очередь, сменил White Lambert. Кроме того, Purple Lambert реализует функциональность, аналогичную и Gray Lambert, и White Lambert.

За исключением утечек Shadow Brokers и Vault7, новости об операциях кибершпионажа в США и хакерских инструментах крайне редки в сфере кибербезопасности. После утечки из Vault7 было зафиксировано всего три сообщения о вредоносных программах и хакерских операциях со стороны США.

Первым был отчет «Лаборатории Касперского» от марта 2018 года, в котором разоблачались операции по сбору разведывательной информации Киберкомандования США, направленные на боевиков ИГ на Ближнем Востоке.

Вторым был отчет ESET за ноябрь 2019 года, в котором был разоблачен DePriMon, еще один штамм вредоносного ПО, связанный с ЦРУ и Lambert.

Третий отчет был опубликован в марте 2020 года китайской охранной фирмой Qihoo 360. В нем говорилось об 11-летней хакерской операции ЦРУ, направленной на сектор гражданской авиации Китая.


Источник статьи: https://habr.com/ru/news/t/555038/
 
Сверху