Не так давно вирусологи обнаружили необычную шпионскую программу. Речь идет далеко не о попытках нажиться (шантаж, спам и т.п.) при помощи вредоносной программы,а о целенаправленном поиске определенного рода информации на компьютерах европейских правительств.

Программное обеспечение очень искусно маскируется, практически невесомо (объем 25 кБ) и написано на устаревшем в настоящее время языке программирования Assembler, который использовали авторы вирусов в 90-е годы. Это прецизионный инструмент, он совместим с микроблогами Twitter.

Выявили необычного шпиона на правительственных серверах российская Лаборатория Касперского и программисты из Будапештского университета. По всей видимости, эта вредоносная программа избирательно устанавливалась неизвестными на немногих избранных серверах. Так, Лаборатория Касперского обнаружила ее в 20 государствах и в одном из НИИ США.

В Лаборатории Касперского окрестили этот компьютерный вирус “ MiniDuke. Архитектура этого своеобразного прецизионного инструмента может указывать на то, что его авторство принадлежит негосударственным игрокам в области компьютерного шпионажа. На это указывает код программы, целенаправленность ее атак и способ управления посредством специальной структуры команд.

Злоумышленники располагали весьма эксклюзивными сведениями об уязвимости ПО, которые стоят немалых средств, к примеру, - об уязвимости Adobe по работе с PDF-документами, еще до того как эта уязвимость была выявлена и устранена.

Неизвестные действовали так: присылали электронные письма с PDF-документами в приложенных файлах – например, приглашение на семинар, как уверял сопроводительный текст. После открытия документа сервер оказывался инфицированным.

Затем вредоносное ПО проверяет, не очутилось ли оно на симуляторе, в этом случае не раскрывает всего своего потенциала, остается бездеятельным и плохо подверженным анализу.

Если все «в порядке», MiniDuke присваивает инфицированному компьютеру идентификатор, создает свой миниатюрный цифровой плацдарм, который позволяет по определенной команде передавать данные или устанавливать свои программные модули.

Благодаря этому коммуникация с управляющим сервером кодируется с использованием уникальных шифров, связанных с идентификатором того или иного инфицированного компьютера.

Когда последние теряют контакт с управляющими серверами, в качестве резервного механизма они используют Twitter. В этом случае MiniDuke с помощью поисковой системы Google находит эти твиты с зашифрованными командами, к примеру, информацию о новых серверах управления.

 Скорее всего, для каждого инфицированного компьютера злоумышленники используют отдельный аккаунт Twitter, через который пересылались такие «содержательные» команды, как «Чудная погодка, солнце светит!» и пр.

Кто стоит за всем этим, неизвестно, как неизвестно и то, какая именно информация интересовала злоумышленников. Возможно, что они лично заинтересованы в ее получении, либо продают ее клиентам.