Эксперты Symantec рассказали о неизвестной до недавнего времени кибергруппировке Strider, которая занимается шпионажем. В качестве жертв злоумышленники выбирали цели в Бельгии, Китае, России и Швеции. Для проведения кибератак участники Strider пользуются вредоносной программой Remsec.
Данная кибергруппировка активна как минимум с октября 2011 года, однако до недавних пор она оставалась неизвестной. Хакеры Strider атакуют как отдельных пользователей, так и организации, которые представляют интерес для правительственных спецслужб. В ходе анализа вредоносной программы Remsec, полученной экспертами от одного из клиентов Symantec, выяснилось, что она была разработана специально для кибершпионажа. Вредоносная программа имеет функционал бэкдора и кейлоггера, а также похищает файлы, которые хранятся на инфицированном компьютере.
Специалисты обнаружили следы активности Remsec на 36 компьютерах в 7 не связанных организациях, не связанных между собой.
Remsec включает в себя ряд модулей, которые работают вместе как фреймворк, дающий хакеру возможность полностью захватить контроль над зараженным компьютером, похищать информацию и пользоваться дополнительными модулями.
Вредоносная программа избегает обнаружения несколькими способами. Так, некоторые компоненты Remsec являются исполняемыми BLOB-объектами (Binary Large Objects), которые очень трудно выявить с применением обычных антивирусов. Кроме того, в большинстве случаев развертывание функционала Remsec происходит по сети, вследствие чего его хранение осуществляется лишь в памяти компьютера, а не на диске.
Так как хакеры из Strider могут разрабатывать собственное вредоносное программное обеспечение и остаются необнаруженными на протяжении 5 лет, исследователи считают, что данная группировка может находиться на службе у правительства какой-либо страны.