Русские хакеры изобрели самый совершенный троян

С его помощью они смогли заразить 6 млн компьютеров и зарабатывать по $1 млн в месяц

фото: РИА Новости

Выделить главное

Вкл

Выкл

Российская хакерская группировка, использующая самый сложный и совершенный на сегодня компьютерный троян TDSS, создала в интернете гигантскую виртуальную сеть (ботнет) из нескольких миллионов зараженных компьютеров. Аналитики «Лаборатории Касперского» (ЛК) заявили «Известиям», что вредоносная программа TDSS в ее нынешней, уже четвертой версии является самым совершенным оружием киберкриминала. Созданная с помощью него зомби-сеть насчитывает от 4 млн до 6 млн зараженных компьютеров.

TDSS — сложнейшая программа, сама по себе не наносит вреда компьютеру. Зато позволяет хакерам незаметно для владельца использовать ресурсы компьютера и загружать туда дополнительные вредоносные программы — это около 30 дополнительных утилит, включая фальшивые антивирусы, системы накрутки трафика и рассылки спама. Зараженные компьютеры хакеры объединяют в ботнет. С помощью ботнета, сплетенного создателями TDSS, хакеры продвигают сайты в поисковых системах, предоставляют в аренду зараженные компьютеры для других вредоносных программ и оказывают различные услуги злоумышленникам. Например, анонимный доступ в сеть с зараженных компьютеров — эта услуга стоит около $100 в месяц.

«Авторы TDSS с вероятностью 99% русские, ботнет управляется из России», — сказал «Известиям» ведущий антивирусный аналитик ЛК, автор исследования о TDSS Сергей Голованов.

«Один зараженный компьютер приносит несколько центов в месяц, но ботнет включает от 4 млн до 6 млн машин — получается сумма в $1 млн ежемесячно», — подсчитал выручку хакеров Голованов. Сам ботнет TDSS существует с начала года. То есть хакерская группировка из России уже заработала несколько миллионов долларов.

Специалисты по компьютерной безопасности высоко оценили технологию TDSS. Используя технологии сокрытия в системе — их называют руткит-технологиями, — троян TDSS прекрасно маскируется и обнаружить его в зараженной машине крайне трудно. Более того, данный троян может скрывать все остальные вредоносные программы, которые сам загружает на компьютер.

«У вас есть диск C, есть диск D, TDSS создает свой собственный диск и его не видно — он зашифрован, соответственно если даже антивирусная программа попытается его прочитать, то она ничего не увидит, — говорит Сергей Голованов. — Программа стартует до запуска операционной системы, как делали старые загрузочные вирусы. Вредоносные процессы тоже скрываются, поэтому поведенческие анализаторы многих антивирусов их не видят — для них это черный ящик».

Не менее сложно обнаружить и ботнет TDSS — зараженные компьютеры и центры управления. Дело в том, что эта сеть очень редко используется для ДДОС-атак на сайты или спам-рассылок — тогда ее легко могли бы раскрыть антивирусные компании и правоохранительные органы. Но даже если центры управления найдут, то отключить всю сеть тоже будет очень сложно — кроме командных серверов впервые используется публичная файлообменная сеть — хакеры оставляют там файлы с командами для зараженных компьютеров.

Большинство зараженных TDSS компьютеров — около 30% — находится в США, утверждают в «Лаборатории Касперского». Остальные компьютеры в Западной Европе и далее по миру. В России если кто-то и заражен, то это небольшое количество. Во всяком случае, пока.

«Русский след» нового ботнета TDSS специалисты ЛК отследили в конце прошлого года. Тогда в интернете продавалась предыдущая версия трояна TDSS, которая, по данным Голованова, была куплена другой русской группой хакеров, разрабатывавшей программы Shiz для кражи паролей в банковских онлайн-аккаунтах.

«Мы считаем, что TDSS была продана и переделана, а в январе злоумышленники вышли на производственные мощности», — резюмирует Голованов.

Сколько стоит сама программа доподлинно неизвестно, но в «Лаборатории Касперского» предположили, что предыдущая версия TDSS была продана на «черном рынке» за несколько сотен тысяч долларов.

Для инфицирования новых компьютеров преступная группировка использует других хакеров. В рамках так называемой партнерской программы они выплачивают от $20 до $200 США за 1000 зараженных машин. Таким образом, на то, чтобы заразить несколько миллионов компьютеров, хакеры потратили несколько сот тысяч долларов. Недавно стало известно, что у TDSS появился и механизм самораспространения — на сменных носителях и через локальные сети.