ESET kenkėjiškų programų tyrėjai pateikia išsamią analizę apie operaciją „Potao Express“, kurios metu aptikta nauja šnipinėjanti virusų šeima Rytų Europoje kodiniu pavadinimu Win32/Potao.
Naujausioje tyrimo ataskaitoje, pavadintoje „Operacija Potao Express“ atskleidžiamos techninės kenkėjiškos programos detalės, apibūdinami mechanizmai, kuriais naudojantis plinta virusas. Taip pat aptariamos svarbiausios atakos, kurios pirmą kartą pasirodė dar 2011 metais.
Panašus į anksčiau tirtą virusą „BlackEnergy“, „Potao“ buvo naudojamas šnipinėti Ukrainos vyriausybę, karines institucijas ir vieną iš pagrindinių Ukrainos naujienų agentūrų. Taip pat buvo šnipinėjami Rusijoje ir Ukrainoje populiarios finansinės piramidės MMM nariai.
Pasak ESET saugumo sprendimus platinančios įmonės „Baltimax“ produktų vadovo Deivido Švėgždos, „Win32/Potao“ yra vienas iš šnipinėjančių kenkėjiškų programų pavyzdžių. „Potao“ šeimos virusai apibūdinami kaip tipiškas šnipinėjantis trojanas, kuris vagia slaptažodžius ir kitą jautrią informaciją, kad juos pasiūlytų užsakovų serveriui“, – sako D. Švėgžda.
Specialistų duomenimis, daugiausia jo pėdsakų randama Ukrainoje ir daugumoje esamų ar buvusių Nepriklausomos valstybių sandraugos (NVS) šalių, įskaitant Rusiją, Gruziją ir Baltarusiją, todėl atakos gali būti siejamos su dabartine geopolitine situacija.
Taip pat svarbu pabrėžti, kad nors kenkėjas vykdė įvairias atakas, tačiau apie „Win32/Potao“ randama viena įdomi detalė.
„Mūsų tyrimas apie virusą „Potao“ atskleidė vieną įdomią sąsają su rusiškąja dabar jau nebeveikiančia populiaria atviro kodo šifravimo programine įranga „TrueCrypt“, – sako ESET vyresnysis kenkėjiškų programų tyrėjas Robertas Lipovsky.
Atliekant tolimesnį tyrimą, ESET tyrėjai aptiko dar vieną sąsają tarp trojanizuoto „TrueCrypt“ ir truecryptrussia.ru tinklalapio, kuris ne tik tam tikrais atvejais teikė apkrėstą šifravimo programinę įrangą, bet ir veikė kaip serverio komandos ir kontrolės (angl. command and control – C&C) dalis per užpakalines duris (angl. backdoor).
Daugiau apie „Operaciją Potao Express“: šnipinėjančio viruso priemonių analizė“ rasite tinklaraštyje WeLiveSecurity.com. Ekspertų tyrimo ataskaita – šiuo adresu.
