«Лаборатория Касперского» обнаружила новый миниатюрный шпионский вирус

Лаборатория Касперского» сообщила, что обнаружила вирус MiniDuke, атаковавший госучреждения на Украине, в Бельгии, Португалии, Румынии, Чехии и Ирландии. Также от него пострадали один исследовательский институт, два аналитических центра и медучреждение в США и исследовательский фонд в Венгрии – всего 59 жертв в 23 странах. Вирус использует недавно обнаруженную уязвимость в популярной программе Adobe Reader для чтения документов в формате PDF.

«Это очень необычная кибератака», – приводятся в сообщении компании слова ее основателя и гендиректора Евгения Касперского. По его словам, стиль вредоносного программирования MiniDuke использовали в конце 1990-х – начале 2000-х гг. Возможно, этот вирус написали те же программисты «старой школы», которые через 10 лет бездействия присоединились к современной группе разработчиков изощренных вирусов для кибершпионажа, делает он вывод: «Эти элитные вирусописатели «старой школы» когда-то эффективно работали над созданием крайне сложных вирусов, а теперь они объединили свои навыки со знанием новейших <...> уязвимостей в безопасности для атаки на государственные власти или исследовательские институты в нескольких странах».

Фрагмент вируса, служащий для его проникновения на компьютер, эффективно работает на многих системах, несмотря на небольшие размеры – всего 20 Кбайт. Такой тип компактных и крайне изощренных вредоносных программ на языке ассемблер можно было встретить во времена «группы 29A», вспоминает Касперский. Эта испано-чешско-польско-российская группа позиционировала себя как разработчик концепт-вирусов, цель которых – продемонстрировать уязвимость компьютерных систем. Она, например, первой выпустила в 2004 г. вредоносную программу для смартфонов. Некоторые члены группы даже общались со СМИ: например, чех, скрывавшийся под псевдонимом Ratter, отвечал на вопросы «Ведомостей».

В конце 2004 г. расследованием деятельности 29A занялись чешские и российские правоохранительные органы. В чешском Брно полиция обыскала дом одного из бывших участников группы, Марека Стрихавки, к тому времени устроившегося на работу в антивирусную компанию Zoner Software. В России суд признал виновным в создании вирусов Stepan и Gastropod другого члена 29А – Евгения Сучкова, известного под псевдонимом Whale. Его оштрафовали всего на 3000 руб.: суд не нашел лиц, пострадавших от созданных Сучковым вирусов.

Директор по исследованиям финской антивирусной компании F-Secure Микко Хиппонен говорит, что не слышал о деятельности бывших членов группы 29A с тех пор, как ими занялась полиция в 2004 г. 29A была основана бразильцами и испанцами, но за 10 лет существования группы в ее составе побывали десятки хакеров из многих стран мира, говорит главный антивирусный эксперт «Лаборатории Касперского» Александр Гостев. По его словам, полиция вычислила только нескольких участников, а многие из них – например, известный вирусописатель из России Z0mbie – так и остались анонимными.