Легендарный Евгений Касперский до сих пор любит покопаться в коде и лично посмотреть на образцы свежих вирусов. Несколько дней назад он написал в личном блоге о новом трояне MiniDuke, который полностью «вынес мозг» директору антивирусной компании.
MiniDuke — новая вредоносная программа для кибершпионажа в государственных структурах по всему миру. Она распространялась при помощи недавно обнаруженного эксплойта для Adobe Reader (CVE-2013-6040). Среди жертв кибершпионской программы — государственные учреждения Украины, Бельгии, Португалии, Румынии, Чехии и Ирландии, два научно-исследовательских центра и медицинское учреждение в США, а также исследовательский фонд в Венгрии.
Бэкдор MiniDuke написан на Ассемблере и чрезвычайно мал — его размер всего 20 КБ. Вредоносная программа умело укрывается от инструментов анализа системы и способна получать инструкции через твиттер или картинки GIF.
Евгений Касперский испытал чувство дежа-вю, потому что видел похожий код на ассемблере примерно десять лет назад. Возможно, говорит он, мы являемся свидетелями возвращения программистов «старой школы», и ничего хорошего от этого ожидать не приходится.
Я в шоке.
Почему?Обычно я не смотрю в код новых троянов-вымогателей-шпионов-что-там-ещё. Это уже давно, увы, не моя работа (а иногда очень жаль... но уже поздно). Через наш вирус-лаб фильтруется огромаднейший поток всякого интернет-мусора (это — отдельная тема). Но в этот раз в меня кинули куском дизассемблера чисто «посмотреть туда». Ну, я посмотрел. Ну, я офигел...
Я этот код видел в прошлый раз лет 10 назад. Этот троян-шпион написан не просто «в стиле старой школы». Что-то мне подсказывает, что он сделан «старыми руками». Если кто помнит — была такая вирусописательская группа 29A — вот, именно на них это похоже! Именно «вирусописательская», это было ещё до расцвета кибер-преступности…
Что это означает? А фиг его знает... Но вдруг старые-недобрые вирус-инноваторы 29A решили вернуться к «активной жизни»? Возможно, им предложили неплохие контракты? Не знаю... Но это очень нехорошая новость — если эти парни (упс, они уже на 10 лет стали старше…) Если эти дяди решили вернуться к вирус-кодингу в шпионских целях — то это ОЧЕНЬ плохая новость.
Кодеры тех времён (включая вирус-писателей из 29A) были основателями практически всех современных вирус-технологий. Они придумали почтовых червей (1999), флеш-червей (2003), а также вирусы для смартфонов (2004) и многое-многое другое. Потом, уже почти 10 лет, этого «почерка» я нигде и никогда не видел. До вчерашнего дня.
Их не было видно уже почти 10 лет… Но они возвращаются.
Восставшие из ада.
Blast from the past.
Aliens from the deep.Также в голове почему-то звучит «Ночной дозор» Галича.
Призраки вирус-оперы.
Стихи ассемблера.
Какие есть ещё варианты?
