Перейти до основного вмісту

КГБ накрыли колпаком весь байнет

Расследование предновогодних взломов charter97.org и electroname.com дало ошеломительный результат.
Оказалось, под негласным контролем белорусских спецслужб длительное время находились компьютеры, а также личная переписка через Skype, электронную почту и социальные сети, не только некоторых работников хартийской редакции (компьютер контент-администратора, имеющего доступ только к административной панели сайта Хартии), но и известных белорусских журналистов, политиков, общественных деятелей, активистов.
Троянская сеть контролировалась с помощью нескольких ящиков электронной почты; удалось получить доступ к некоторым: boss.bigben@mail.ru и 123asqedws@mail.ru.
Анализ присланных вирусами логов активности зараженных компьютеров позволяет утверждать, что спецслужбы незаконно прослушивали редакцию Хартии, а также Ирину Халип, Марину Коктыш, Сергея Возняка, Павла Маринича, Елену Новикову, Виктора Радькова и многих других людей. Предпринимались попытки заражения компьютеров Белорусской ассоциации журналистов, Дмитрия Лоевского, адвоката Алеся Беляцкого, Вячеслава Дианова, координатора "молчаливых" акций протеста. Были ли попытки успешными - неизвестно.
Сеть работала как минимум с июля 2011 года. Именно тогда установлено первое задокументированное заражение одного из компьютеров. Были украдены пароли от Skype (это позволяет включить Skype на другом компьютере и параллельно читать всю переписку пользователя), социальных сетей, e-mail и даже пароли доступа к интернет-провайдеру, записывалась картинка десктопа с действиями пользователя, копирование в буфер обмена, набор текста в текстовых редакторах, мессенджерах.

Злоумышленники использовали три вида вирусов: уже известный вирус КГБ или RMS от TeknotIT, UFR Stealer - вирус, заражающий компьютер через флешку, и Keylogger Detective. Это так называемые "трояны для школьников". Их можно свободно купить в Рунете за 20-30 долларов.

Удалось установить и белорусский IP-адрес, который принадлежит владельцам вирусов и двух e-mail. Адрес сохранился в отправленных и тестовых письмах в обоих почтовых ящиках. Этот же самый адрес есть в логах нападения на charter97.org и electroname.com - 178.124.157.86. IP-адрес зафиксирован в логах e-mail и серверов под разными датами, т.е. адрес статичный и используется постоянно.
Другими словами, заражение компьютеров, прослушка и атака на сайты выполнена одной и той же группой.
Судя по тому, что Максим Чернявский, завербованный куратором Димой из КГБ, также получил задание установить "вирус" RMS от TeknotIT на компьютер Вячеслава Дианова, можно предположить - эта группа киберпреступников из КГБ.

Предлагаем инструкцию по поиску и удалению вирусов:

I. KeyloggerDetective

Троянская программа, известная как Keylogger Detective, детектируется как "modified Win32/PSW.Sycomp.G" (NOD32), "Trojan.MulDrop3.2380" (DrWeb), "Trojan-Spy.Win32.Agent.btzs" (Kaspersky), "TrojanSpy:Win32/Keylogger.BK" (Microsoft), "SHeur3.CKGS" (AVG), "Trojan.ADH" (Symantec), "TrojanSpy.Agent.btzs" (VBA32).

Файл имеет размер 87,312 байт. MD5: e740bf2a9539bf4fc4df88cf4e799bf2

При запуске создаёт директорию "C:\Documents and Settings\<Пользователь>\Application Data\sysdata", куда копирует себя, и сохраняет в ней файлы с информацией о нажатых клавишах, активных окнах, кликах мыши и содержимом буфера обмена. Файлы, с перехваченной информацией, имеют вид sys.dat, 0sys.dat, 1sys.dat. Собранную информацию отправляет на указанный в программе почтовый ящик по мере её накопления.

Для автозапуска, при загрузке системы, использует ключ реестра
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\yrrrrt2.

Для ручного удаления необходимо:

1. принудительно завершить процесс svssvc.exe (см. картинку);

2. удалить директорию
"C:\Documents and Settings\<Пользователь>\Application Data\sysdata";

3. удалить ключ реестра
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\yrrrrt2

либо отключить автозапуск с помощью стандартной утилиты msconfig.exe (см раздел Автозапуск, элемент svssvc).
После удаления программы рекоммендуется сменить пароли от всех ресурсов, доступ к которым осуществлялся с зараженной системы.

II. UFR Stealer

Троянская программа, известная как UFR Stealer, детектируется как "Trojan.PWS.UFR.11" (DrWeb), "Generic23.FQT" (AVG), "Trojan-PSW.Win32.Ruftar.bsa" (Kaspersky), "Trojan:Win32/Anomaly" (Microsoft), "a variant of Win32/Spy.Usteal.A" (NOD32), "Trojan.Khil.23905" (VBA32)

Файл имеет размер 52,736 байт. MD5: 71f950f31c15023c549ef4b33c2bf1e0

При запуске собирает логины/пароли приложений, используемых в системе. Поддерживает кражу паролей от таких программ как Opera, Firefox, Chrome, Internet Explorer, QIP, MSN Messenger, ICQ, Mail.ru Agent, Pidgin, Google Talk, Miranda, The Bat!, FileZilla, Total Commander и др. Также собирает общую информацию о системе. Сохраняет собранную информацию в папку ufr_files, в директории, где была запущена программа и пытается передать собранные данные на указанный в теле программы почтовый ящик. После этого самоудаляется.

В системе не закрепляется, поэтому ручное удаление из системы не требуется. При обнаружении такого файла удалите его самостоятельно, не запуская.

Определить была ли запущена у вас данная программа можно по характерным следам, которые остаются в системе:

* Наличие папки ufr_files на вашем диске с файлами *.dat, *.bin, *.txt, *.ds;
* Наличие prefech-файла по пути:
C:\Windows\Prefetch\ABGREYD.EXE-*.pf.

После удаления программы рекоммендуется сменить пароли от всех ресурсов, доступ к которым осуществлялся с зараженной системы.

III. RMS Trojan

Троянская программа, построенная на основе легальной программы для удаленного администрирования, известной как Remote Manipulator System (http://www.tektonit.ru). Компоненты, являющиеся легальным ПО, не детектируются антивирусными программами как вредонсоные файлы, однако инсталятор определяется как "Worm.Autorun-8201" (ClamAV), "Trojan.Generic.6178206" (GData), "Backdoor.BAT.Agent.l" (Kaspersky), "Backdoor.BAT.Agent.l" (VBA32).

Файл имеет размер 2,782,938 байт. MD5: 3299b4e65c7c1152140be319827d6e04

При запуске создает скрытую директорию C:\Windows\system32\catroot3, куда копирует различные компоненты программы удаленного управления, настраивает системный фаервол, создаёт скрытый файл C:\Windows\system32\de.exe. После этого запускает программу удаленного управления и самоудаляется из директории запуска.

Наличие в системе можно определить:

* по работающим процессам rutserv.exe или rfusclient.exe;

* по наличию скрытых директории C:\Windows\system32\catroot3 и файла C:\Windows\system32\de.exe;

* по наличию сервиса с именем "TektonIT - R-Server".

Управление осуществляется по собственному протоколу (на основе TCP), используя сервера компании Tekton-IT, предоставляемые на бесплатной основе.

Для быстрого ручного удаления можно воспользоваться деинсталятором, который, видимо, по ошибке атакующих, копируется в систему вместе с остальными компонентами вредноносного сервиса. Запуск C:\windows\system32\de.exe удалит записи из реестра, остановит работающий сервис и удалит все компоненты приложения, включая и сам файл de.exe.
После удаления программы рекоммендуется сменить пароли от всех ресурсов, доступ к которым осуществлялся с зараженной системы, а также как можно раньше переустановить всю операционную систему, т.к. она могла быть заражена любыми другими вредоносными программами, которые загрузили с помощью текущей.
Комитет государственной безопасности Беларуси отказывается комментировать раскрытие слежки за оппозицией.

Напомним, что под негласным контролем спецслужб длительное время находились компьютеры, а также личная переписка через Skype, электронную почту и социальные сети не только некоторых работников сайта «Хартия'97», но и известных белорусских журналистов, политиков, общественных деятелей, активистов.

«Мы не будем ничего комментировать», — заявил БелаПАН представитель Центра информации и общественных связей КГБ.

О результатах собственного расследования взломов в конце 2011 года сайтов charter97.org и electroname.com сообщается на последнем информационном ресурсе. Согласно этой информации, троянская сеть контролировалась с помощью нескольких ящиков электронной почты; удалось получить доступ к некоторым: boss.bigben@mail.ru и 123asqedws@mail.ru. Авторы исследования утверждают, что спецслужбы незаконно прослушивали редакцию «Хартии», а также Ирину Халип, Марину Коктыш, Сергея Возняка, Павла Маринича, Елену Новикову, Виктора Радькова и многих других людей. Предпринимались попытки заражения компьютеров Белорусской ассоциации журналистов, Дмитрия Лоевского, адвоката Алеся Беляцкого, Вячеслава Дианова, координатора «молчаливых» акций протеста. Были ли попытки успешными — неизвестно.

В сообщении на electroname.com указывается, что сеть работала как минимум с июля 2011 года: «Именно тогда установлено первое задокументированное заражение одного из компьютеров. Были украдены пароли от Skype (это позволяет включить Skype на другом компьютере и параллельно читать всю переписку пользователя), социальных сетей, e-mail и даже пароли доступа к интернет-провайдеру, записывалась картинка десктопа с действиями пользователя, копирование в буфер обмена, набор текста в текстовых редакторах, мессенджерах».


По теме:Максим Чернявский опустил КГБ !
По теме:Сетевая безопасность для Белорусских партизан


Коментарі

Популярні дописи з цього блогу

БЫВШИЕ МУСУЛЬМАНЕ ПРОТИВ ИСЛАМА

В начале июля около 30 мусульман, порвавших с исламом, заявили о создании так называемого Совета бывших мусульман Франции. Основным назначением нового движения является борьба выходцев из исламского общества за право быть атеистами и критиковать ислам. "Мы представляем собой группу атеистов и неверующих, которые неоднократно сталкивались с угрозами в свой адрес, многие из нас были арестованы за богохульство", - заявили учредители совета. Символом своего движения они называют шевалье де ла Барра, молодого французского аристократа, казненного 1 июля 1766 года "за пение насмешливых песен в присутствии церковной процессии". Для французов история де ла Барра является предостережением против любых проявлений религиозной нетерпимости. Настоящим героем члены движения считают палестинского блогера Валида аль-Хусейни, в 2010 году проведшего несколько месяцев в тюрьме по обвинению в кощунственной интернет-деятельности. Среди членов Совета бывших мусульман – выходцы из

Главная проблема молодых учителей — рано созревшие школьницы

В школах всегда не хватало учителей-мужчин, а теперь мы можем потерять последних: молодые педагоги боятся... раскованного поведения своих учениц. Ведь из-за сознательной провокации или искренней симпатии подопечных девочек учитель может быть заподозрен в педофилии, к которой сегодня особенно внимательны как правоохранительные органы, так и бдительные граждане. Вот и бегут мужчины с педагогическим образованием из средней школы — от греха подальше. Географ: «Еле глобус унес...» Высокий симпатичный Леня — бывший молодой преподаватель географии Леонид Филиппович — сделал ноги из средней школы меньше чем через год работы. Сейчас Леониду 26, и работает он совершенно в другой сфере, но при воспоминаниях о школе, пусть и четырехлетней давности, вздрагивает до сих пор. — Из-за проделок учеников учитель может получить не только несмываемое пятно на своей репутации, но и реальные неприятности с законом, — говорит Леонид. — Ладно еще те девочки, которые влюбляются в своего учителя, что для пе

АРМИЯ: США VS РОССИЯ - СУБЪЕКТИВНЫЙ ВЗГЛЯД

Конечно же Армия США, ведь там используются наиболее передовые системы вооружения, очень сильное взаимодействие родов войск(чего нет в РФ) и проффесионализм у американских солдат выше чем у русских призывников. Ну чего уж говорить о превосходстве американской технологии и техники. В европейских странах, да и во всем мире, уже давно эталоном военной выучки стала армия США. Стоит сразу оговориться, что в самих Штатах под словом армия подразумеваются не вооруженные силы целиком, а лишь сухопутная ее часть. Мы же, по привычке, будем подразумевать именно вооруженные силы всецело. Ежели эталоном в мире признана армия «самого демократичного» государства, то возникает и резонный вопрос: а кто же служит примером для самих солдат Америки? На это, думается, ответ сможет дать даже школьник – самым сильным подразделением в заморских войсках считается корпус морской пехоты. Вся война с Россией будет длиться до 20 дней после первых ударов НАТО.. Не будем обсуждать, где и какие задачи они выполня