«Лаборатория Касперского» рассказала о зловреде DarkPulsar

Специалисты «Лаборатории Касперского» опубликовали отчет об исследовании вредоносного ПО DarkPulsar. Этот зловред был выложен в сеть участниками хакерской группировки Shadow Brokers весной 2017 года в числе множества хакерских инструментов, предположительно, похищенных у Агентства национальной безопасности США. На протяжении некоторого времени DarkPulsar оставался как бы в тени: основное внимание специалистов по кибербезопасности было направлено на эксплойт EternalBlue, быстро принятый на вооружение кибепрпеступниками и использованный, в частности, в таких крупнейших атаках прошлого года как WannaCry, NotPetya, и Bad Rabbit.

Однако в последние месяцы исследователи «Лаборатории Касперского» обнаружили несколько систем, инфицированных DarkPulsar, что подтолкнуло к более пристальному изучению вредоносного ПО. Исследование установило, что DarkPulsar является бэкдором, обеспечивающим работы кибершпионских платформ DanderSpritz и FuzzBunch. Он позволяет исполнять произвольный код на инфицированных устройствах, обеспечивает загрузку дополнительного вредоносного ПО и похищение данных, а также помогает обходить проверки аутентификации, открывая доступ к защищенным данным. Помимо этого, у зловреда есть функция самоуничтожения, призванная скрыть следы проникновения в систему. Инфицированные DarkPulsar компьютеры обнаружены в России, Египте и Иране, они принадлежат компаниям и организациям, связанным с ядерной энергетикой, аэрокосмическими технологиями и телекоммуникационной сферой. В настоящий момент выявлено около 50 зараженных систем, но в «Лаборатории Касперского» полагают, что их число может оказаться существенно выше.