Представители Европола сообщили о 14 арестах, произведенных в 8 странах мира, и ликвидации инфраструктуры малвари Imminent Monitor, которая была активна на протяжении последних шести лет.
RAT Imminent Monitor был создан еще в 2013 году разработчиком вредоносного ПО под названием Shockwave. Как и большинство других троянов удаленного доступа (RAT), он рекламировался как легитимный «инструмент для удаленного управления», предназначенный для системных администраторов. Однако рекламировали его на хакерских форумах, и предназначался он исключительно для киберпреступников.
Imminent Monitor не снискал большой популярность в первые годы своего существования, но когда власти прекратили работу других популярных RAT (LuminosityLink, NanoCore, BlackShades, Orcus), их клиенты стали переходить на Imminent Monitor. К примеру, летом 2018 года эксперты Fortinet заметили, что данный RAT использовался в кампании, направленной против российского бизнеса.
Технически Imminent Monitor был вполне обычным RAT и предлагал следующие возможности:
- управление удаленным рабочим столом «со сверхбыстрой скоростью, превышающей 50 FPS»;
- управление удаленными веб-камерами «со скоростью выше 60 FPS»;
- кейлоггинг в реальном времени;
- прослушивание разговоров в реальном времени через микрофон компьютера;
- возможность использования зараженных устройств в качестве прокси, для сокрытия действий хакера против других целей;
- сбор паролей от широкого спектра приложений и их хищение.
До проведения операции правоохранительных органов Imminent Monitor распространялся через сайт imminentmethods.net и оценивался своим авторами всего в 25 долларов. По информации Европола, за годы работы Imminent Monitor сумел привлечь более 14 500 покупателей из 124 стран мира, и был использован для атак на десятки тысяч пользователей.
Правоохранители рассказывают, что операция по ликвидации Imminent Monitor была разделена на две этапа. В ходе первой фазы операции, еще в июне 2019 года, австралийские и бельгийские полицейские провели обыски в домах разработчика малвари, а также одного из его подельников.
Во время второй фазы операции, состоявшейся на прошлой неделе, власти закрыли сайт Imminent Monitor, его внутренние серверы и арестовали автора малвари, а также 13 самых активных пользователей этого вредоносного инструмента.
Европол сообщает, что аресты были произведены в Австралии, Колумбии, Чехии, Нидерландах, Польше, Испании, Швеции и Великобритании. Кроме того, обыски прошли в 85 различных местах, и правоохранители изъяли 430 устройств, которые, по их мнению, использовались для распространения малвари. Больше все постарались представители Национального криминального агентства Великобритании: на их счету 21 ордер на обыск, 9 арестов и более 100 конфискованных устройств.