Agência de espionagem da França tem sido apontado como o autor provável de malware reconhecimento complexo, dizem os pesquisadores.
O malware Casper é um dos poucos com links para o programa espião Babar que vazou documentos da NSA revelou no mês passado para ser o trabalho da Direção da França Générale de la Sécurité Extérieure (Direcção-Geral de Segurança Externa ou DGSE).
Barbar surgiu em 2009 e desde então tem sido usada para roubar as teclas digitadas, pranchetas e ouvir conversas do Skype, entre outros feitos de intercepção.
ESET analista de malware Joan Calvet diz em um relatório sobre Casper parece ter sido usado recentemente em abril 2014 ações contra alvos sírios.
"Para atacar seus alvos, os operadores de Casper usado explorações de dia zero em Adobe Flash, e essas façanhas foram - surpreendentemente - hospedado em um site do governo sírio", diz Calvet.
"Casper é uma ferramenta de reconhecimento bem desenvolvido, tornando extensos esforços para permanecer invisível em máquinas-alvo".
"Estes alvos podem ter sido os visitantes do site da jpic.gov.sy -.. Cidadãos sírios que querem apresentar uma queixa Neste caso, eles poderiam ter sido redirecionadas para as façanhas de uma página legítima deste website"
O site sírio pode ter sido usado como um meio para armazenar binários e comando de Casper e controlar componentry enquanto esconde e redirecionando a identidade dos atacantes.
Casper, analisadas em um esforço conjunto entre pesquisadores de malware Marion Marschalek de Cyphort , Paul Rascagnères de GData e bods de segurança da Computer Incident Response Centro de Luxemburgo, não poderia ser definitivamente fixado em França de acordo com a análise técnica.
Bit Calvet foi capaz de obter amostras Casper por meio da rede de malware da ESET e achei que combinava com o mesmo flash explora Kaspersky pesquisador Vyacheslav Zakorzhevsky relatado foi usada no site em abril passado.
Caper é notável na sua identificação e evasão de versões específicas para quatro plataformas anti-vírus, incluindo BitDefender, PC Tools, e Avast que identificou na máquina Windows de um alvo, utilizando a possibilidade Windows Management Instrumentation.
Calvet diz que isso sugere autores têm "conhecimento profundo" do caminho desses produtos anti-vírus funciona.
O malware foge uma máquina de destino, se um produto é detectado ou injeta código para um novo processo, se ele for encontrado vulnerável, e recebe dados de instrução com um comando e controle de servidor agora fora de linha, incluindo a capacidade de implantar plugins adicionais.
A equipe de pesquisa descobriu suas cargas eram muito semelhantes àquelas sob pesquisadores do projeto da DGSE dub Farm Animal sob o qual Babar eo coelhinho e malware NBOT foram desenvolvidos.
"Nenhum desses sinais por si só é suficiente para estabelecer uma ligação forte, mas todos os recursos compartilhados juntos nos fazer avaliar com alta confiança que Bunny, Babar, NBOT e Casper foram todos desenvolvidos pela mesma organização", diz Calvet.
Kasperksy boffin malwares Costin Raiu que indecentemente analisados Casper disse Motherboard a operação Animal Farm hackers avançado foi provavelmente o trabalho de um Estado-nação, dada a ausência de ganhos financeiros.
"Quando você tem uma tal operação de grande escala se arrasta por vários anos usando múltiplos zero-dias, sem qualquer tipo de resultado financeiro", diz Raiu.
"É óbvio que é Estado-nação patrocinado - que tem que ser." ®
Nenhum comentário:
Postar um comentário