Джо Стюарт (Joe Stewart), директор по исследованиям вредоносного ПО в американской компании Dell SecureWorks, потратил полтора года на составление полного каталога программ, созданных для кибершпионажа, и каталога доменов, которые использовались злоумышленниками во время этих кампаний. В общей сложности каталог содержит более 200 уникальных семейств программ и более 1100 доменных имён.

На первой диаграмме показаны взаимосвязи между семействами вредоносных программ, DNS-записями и доменами. На второй иллюстрации — фрагмент в увеличенном виде.

Хотя количество 1100 доменов кажется небольшим, но с учётом поддоменов оно вырастает до почти 20 тысяч, а большое число динамических DNS-записей вообще не учитывались. Эти поддомены используются для контроля и управлением отдельными сегментами ботнетов. Да, для кибершпионажа тоже создаются ботнеты, но они гораздо меньше по размеру, чем обычные ботнеты, заражающие миллионы ПК обычных пользователей. Здесь количество заражённых компьютеров исчисляется в сотнях на каждый ботнет.

Подтекст этого исследования таков, что данный каталог может быть первым в мире каталогом кибероружия, созданного по заказу государственных служб с целью шпионажа за другими странами, для промышленного шпионажа и т.д. Предполагается, что визуализация карты позволит отследить взаимосвязи между различными семействами зловредов и понять, какие страны наиболее активно применяют подобные программы.



Оставить мнение