Легальный бизнес на нелегальном ПО: «Лаборатория Касперского» установила связь между программами-шпионами и частной компанией из Италии

Легальный бизнес на нелегальном ПО: «Лаборатория Касперского» установила связь между программами-шпионами и частной компанией из Италии

25.04.2013

Эксперты «Лаборатории Касперского» в ходе детального анализа двух шпионских программ Morcut и Korablin установили связь между ними и частной итальянской компанией Hacking Team, специализирующейся на разработке ПО для слежки и его продаже государственным и правоохранительным структурам разных стран. Такое заключение специалисты сделали, исходя из функциональной идентичности этих зловредов и официальной программы Hacking Team — Remote Control System (RCS), — которую разработчик позиционирует как ПО для слежения за компьютерами и телефонами подозреваемых в преступлениях.

«Ещё несколько лет назад шпионские программы по заказу писали хакеры-одиночки или группы подобных им разработчиков — и это было совершенно неофициально и незаконно. Теперь же появились частные компании, которые, согласно информации на их официальных сайтах, разрабатывают и предлагают правоохранительным органам программы для сбора информации с компьютеров пользователей. И несмотря на наличие в большинстве стран законов, запрещающих создание и распространение вредоносных программ, программы-шпионы предлагаются практически без какой-либо маскировки их функций, — рассказывает Сергей Голованов, ведущий антивирусный эксперт «Лаборатории Касперского». — При этом компании, разрабатывающие шпионское ПО, по нашим данным, не несут ответственности за дальнейшую судьбу созданных ими программ, которые могут использоваться для слежки, в межгосударственном шпионаже, или же с традиционной для обычного киберкриминала целью обогащения. И анализ программы Remote Control System лишь стал очередным подтверждением этой тенденции».

В начале 2012 года эксперты «Лаборатории Касперского» обнаружили вредоносные программы под Windows, имеющие поразительное сходство функций с RCS, описание которой опубликовано на официальном сайте компании www.hackingteam.it. Позднее они были объединены в антивирусных базах под именем Korablin. Полгода спустя, в распоряжение специалистов попал образец вредоносного кода под Mac OS X со всё тем же функционалом. В «Лаборатории» ему было присвоено название Morcut. Окончательным же подтверждением гипотезы о том, что данные программы были созданы итальянской компанией Hacking Team, стал тот факт, что загрузка зловредов производилась с сайта компании.

В то же время «официальная» программа Remote Control System позиционируется итальянскими разработчиками из Hacking Team как инструмент для сбора данных для технической экспертизы при расследовании преступлений. Однако в процессе внимательного её изучения эксперты «Лаборатории Касперского» не обнаружили никакого механизма достоверного копирования содержимого файловой системы или снятия содержимого оперативной памяти. Более того, из функционала программы следует, что RCS является самораспространяющейся вредоносной программой, предназначенной для кражи личных данных и предоставления удалённого доступа к заражённой системе.

«Можно сказать, что данная программа имеет довольно странный функционал: она делает то, чего делать не должна, и не делает того, что должна делать программа, собирающая информацию для судебно-технической экспертизы», — поясняет Сергей Голованов.

Подробности анализа программы RCS и исследование причастности её разработчиков к другим кибершпионским зловредам в Интернете читайте на сайте www.securelist.com/ru.

© АО «Лаборатория Касперского», 1997 - 2016