Исходный код зловреда Carbanak случайно нашелся на VirusTotal

Исследователи компании FireEye обнаружили полный исходный код вредоносного ПО Carbanak. Этот троянец на протяжении нескольких лет использовался хакерской группировкой с тем же названием (известной также как FIN7, Anunak и Cobalt Group) для атак на банки и другие финансовые учреждения. По оценкам правоохранительных органов, суммарный ущерб, причиненный атаками этой хакерской группы, оценивается более чем в 1 миллиард евро. Хакеры инфицировали своим вредоносным ПО компьютеры сотрудников организаций-жертв и затем использовали их как точки входа во внутренние системы для осуществления несанкционированных транзакций либо для управления банкоматами и снятия крупных сумм наличных.

Первые атаки FIN7 были осуществлены в 2013 году. Тогда группировка использовала зловред Anunak. Но в период с 2014 по 2016 годы перешла на его усовершенствованную версию, которая и получила название Carbanak. В настоящий момент группировки в ее изначальном составе не существует. Предполагаемый лидер FIN7 был арестован полицией Испании в марте 2018 года, а несколько месяцев спустя правоохранительные органы Украины задержали еще трех ключевых участников группировки. Тем не менее, часть ее членов смогли скрыться от правосудия. Предполагается, что сейчас они действуют в составе нескольких более мелких групп, являющихся своего рода «осколками» FIN7.

Ранее в руках исследователей несколько раз оказывались фрагменты сода Carbanak. Однако речь всякий раз шла о скомпилированных версиях, не позволявших провести глубокий анализ. Теперь же FireEye располагает полным исходным кодом зловреда. Примечательно, что нашелся он там, где его и можно было надеяться обнаружить: в базе данных ресурса VirusTotal, предназначенного как раз для загрузки пользователями различных образцов вредоносного ПО. Неизвестный пользователь загрузил исходный код с российского IP-адреса еще в апреле 2017 года. По странному стечению обстоятельств на протяжении двух лет никто не обращал внимания на эту загрузку, и специалисты FireEye случайно наткнулись на нее лишь сейчас. Код объемом более 100 тысяч строк был загружен двумя архивами и включает плагины, с которыми исследователи ранее не сталкивались. Компания FireEye планирует серию из 4 публикаций, в которых представит подробный анализ зловреда. Первая из них уже появилась в блоге компании.

Источник: ZDNet