Исследователи обнаружили продвинутый вирус, который прятался в системах как минимум 5 лет

Эксперты по безопасности обнаружили вирус, который оказался настолько продвинутым, что смог оставаться незамеченным в течение 5 лет. Названный в Лабораториях Касперского как «ProjectSauron», а в Symantec — «Remsec», он был активен как минимум с 2011 года и обнаружен примерно на 30 машинах. Его удивительная незаметность говорит о том, что он мог быть разработан при поддержке правительственных организаций, как вирусы Flame, Duqu, Equation и Regin. Большая часть ProjectSauron располагается в памяти компьютера и написана в виде Binary Large Objects, что не давало антивирусу его обнаружить. Кроме того, программные следы этого вируса уникальны для каждого случая заражения, что ещё больше затрудняет работу исследователям.

Имя «Project Sauron» было выбрано из-за одной из строчек кода, в которой оно содержалось.

Ещё одной выдающейся способностью ProjectSauron является возможность собирать данные с компьютеров, которые даже не имеют выхода в Интернет. Для этого вирус использует специально подготовленные USB-носители, хранящие виртуальную файловую систему, не распознаваемую Windows. При этом даже системы с хорошей защитой от утечек данных распознают такие носители как не несущие угрозы.

Исследователи из Kaspersky пока не знают, как именно работает эта уязвимость, но подозревают, что она срабатывает лишь в редких случаях при наличии zero-day эксплойтов. В конце концов, Project Sauron состоит как минимум из 50 модулей, которые комбинируются в зависимости от условий. По словам исследователей, основные модули вируса работают как «спящие клетки», не проявляя никакой активности до поступления «пробуждающей» команды.

Основной целью вируса является получение паролей, криптографических ключей, файлов настроек и IP-адресов ключевых серверов. Заражения обнаружены в государственных учреждениях, научных центрах и телекоммуникационных и финансовых организациях в России, Иране, Руанде, Китае, Швеции, Бельгии и, возможно, в италоязычных странах.

Более подробно об этом вирусе можно прочитать в докладе от Kaspersky.

 

Источник: Ars Technica