Тайнствена група хакери, която краде данни и от правителствата, и от мафията, сега тормози служителите от антивирусните компании, които не успяват да я спрат. Кръстили са ги "MiniDuke", както се казва и зловредният софтуер, който ползват мистериозните пирати.
За първи първи път ги разкриват през февруари миналата година. Тогава експерти от антивирусни компании решават, че групата работи за някое правителство и краде данни от всевъзможни министерства и изследователски институти по цял свят.
Когато преди година и половина се появяват статии за дейността на групата, тя прекъсва работата си. В последните месеци обаче MineDuke е обратно на линия и се е насочила особено силно към хора от подземния свят, които се занимават с разпространението на наркотици.
От антивирусната компания Kaspersky Lab са проследили един от сложните C&C сървъри, който ги отвежда до сайт, разпространяващ нелегални субстанции, включително стероиди и хормони. От компанията не казват кой точно е сайта.
Това откритие насочва контрахакерите към няколко предположения за естеството на MiniDuke. Те могат да са „кибер наемници", съставени от няколко субдивизии, които продават своите услуги на различни клиенти - вероятно или на полицаи, или на криминални групировки, които искат да следят конкуренцията, както и правителството.
Почти сигурно обаче е, че са хакери от старата школа. Те все още пишат код на Assembler и демонстрират доста високо технологично ниво, както и доста добро закодиране на следите, които оставят, което ги прави трудни за откриване. „Повече приличат на хора извън закона, отколкото на типичните хакери на работа към някое правителство. Това им помага, за да стоят на мястото си", разказват запознати
Въпреки всичко през 2014 г. повечето от жертвите на групировката са държавни служители. От Kaspersky Lab казват, че групата е използвала приложения с отворен код, за да сканира интернет за полезна информация и потенциални жертви в Украйна, Азербайджан и Гърция. Никъде в досегашните разкрития не се споменава България.
„Събирали са всичко - мейл адреси, имена, псевдоними и потребителски имена", казват от антивирусната компания
Софтуерът им позволява да определят с кой заразен компютър какво да се случват - те могат да крадат всевъзможни пароли, да изтеглят файлове от определен тип на сървърите си (и то разделени на мини файлове по едва 3kb, за да не може да ги усети антивирусната), могат да настроят компютъра да изпраща принтскрийн на всеки пет минути - каквото им е потребно.
От Kaspersky Lab успешно са проследили са хакерите, включително в кои часове работят, което ги позиционира най-вероятно или в Източна Европа или в Азия. На някои места в кода е използвана кирилица, както и името Владимир.
MiniDuke междувременно са пуснали нов тип зловреден код (malware), наречен CosmicDuke, който имитира популярни апликации като Chrome и ъпдейтите на Java. Точно като останалия malware на групата, той е способен да открадне всякакви файлове - от MP3-ките, до документите на Word.
Част от кодовете на CosmicDuke са забелязани в наистина добре направения зловреден код Urobonos, за който се смята, че е писан в Русия
От групата са направили и един куп Twitter профили, които водят до домейни, които се ползват, за да контролират разпространението на кода, така че дори, когато техните C&C сървъри са блокирани, например от властите, групата все още да може да има достъп до заразените компютри.
Смята се, че досега MiniDuke са ударили 139 жертви от сформирането си насам - най-много от тях са в Грузия - 84, последвани от Русия - 61 и САЩ - 34.