«Око Саурона» приспособили для шпионажа

Специалисты компании Symantec сообщили об обнаружении ранее неизвестной кибершпионской группировки Strider. По данным Symantec, киберпреступники как минимум с октября 2011 года ведут целенаправленные высокоточные атаки (APT) на ряд организаций и частных лиц в России, Швеции, Бельгии и КНР. В числе названных объектов кибершпионажа фигурируют дипломатическое представительство в Бельгии и китайская авиакомпания, всего же жертвами атак стали 36 компьютеров, принадлежащих 7 организациям и группе частных лиц.

Для осуществления атак их организаторы используют чрезвычайно изощренное вредоносное ПО, получившее название Remsec. Инфицируя компьютеры, этот зловред открывает бэкдор, используемый в частности, для перехвата вводимых с клавиатуры команд и похищения файлов. Кроме того, Remsec имеет модульную структуру, и при необходимости хакеры могут подгружать дополнительные модули, расширяя функционал зловреда. Часть этих модулей написана на языке программирования Lua, ранее использованном для создания зловреда Flame, жертвами атак которого стали в 2012 году Иран и ряд других государств Ближнего Востока.

Примечательно также, что члены группировки Strider оказались, судя по всему, поклонниками творчества Джона Толкиена. В одной из строк кода Remsec содержится имя Саурона – темного властелина из эпоса «Властелин колец». Специалисты Symantec отмечают, что сложность и продолжительность атак могут свидетельствовать, что за их организаторами стоят государственные спецслужбы.