Tinker, tailor, spyder

В блогах координаторов гуманитарной и не очень гуманитарной техподдержки самопровозглашенных республик Донбасса часто можно обнаружить отчеты о доставке на эти территории команчей руководств по военной тактике и работе с оружием, а также карт, “полезной документации”, гарнитур к рациям, переговорных устройств и даже баллистических калькуляторов. Все эти полезности, как правило, представлены в бумажном виде или в формате творений советской аналоговой, редко — китайской цифровой, радиоэлектроники, а основным вычислительным инструментом шифровальщиков, артиллеристов и связистов Донецкого Высшего Командного Училища обычно выступает какой-нибудь проверенный временем лэптоп IBM ThinkPad на техпроцессе от 90 до 65 нм… или, в особо трудных случаях, нетбук Acer рубежа десятилетий.

Скорее всего, это объясняется как недостаточным финансированием, ненадежностью электроснабжения и покрытия мобильного Интернета в ЛДНР, так и подчеркнутым советско-православным технокультурным консерватизмом координаторов (не)гуманитарной помощи, даже если они, как в данном случае Андрей Морозов по прозвищу Мурз, зарабатывают на пропитание деятельностью в IT-сфере.

Однако недавние находки сотрудников компании FireEye, которая оказывает услуги в области информационной безопасности, показывают, что приверженность старомодным носителям информации может быть и весьма полезна для ленивых нелюбопытных пользователей.

Так, на днях стало известно о существовании разновидности вредоносного программного кода, использующей для прикрытия электронные версии сепаратистской документации.

В случае, если неосторожный пользователь из Новороссии открывал документ под названием СПУТНИК РАЗВЕДЧИКА.doc, на его компьютере устанавливалось модифицированное шпионское ПО с итальянского IP-адреса 95.141.38.110. После инцидента с малайзийским “Боингом” летом 2014 года активность военно-космических сил ДНР, как наверняка известно читателям, сошла на нет. В противном случае, думается, 12 апреля ознаменовалось бы обнародованием шпионского эксплойта под названием СПУТНИК КОСМОНАВТА.doc.

Кроме того, вирус загружал дополнительный документ-наживку под названием prikaz.doc, в котором, по утверждениям публикаторов, содержался приказ министерства обороны Федеральной Империи, но об этом последнем далее.

Следует отметить, что вирус использовал уязвимость нулевого дня CVE-2017–0199 в M$ Word, ранее обнаруженную теми же исследователями. Она позволяет загружать и исполнять сценарии Visual Basic с командами PowerShell под видом документа .doc с внедренным эксплойтом. Исходная программа, Finspy, выпускается совместной британско-немецкой компанией Gamma Group, скромно определяющей свои задачи как, среди прочего, “содействие активному и пассивному законному получению информации для нужд систем наблюдения”. Учитывая, что в августе того же 2014 года локальная сеть одного из филиалов компании была взломана, и в даркнет из нее утекло примерно 40 Гб шпионского кода и различной документации к нему, однозначно установить инициатора вредоносной рассылки не представляется возможным. Во всяком случае, это не проще, чем восстановить ход мыслей составителя фальшивого приказа (prikaz.doc) по Министерству обороны РФ об управлении… лесным хозяйством ДНР.

Однако замечу, что избежать заражения или, по крайней мере, значительно снизить его риск можно было бы достаточно просто, а именно — отказавшись на время необъявленной войны от использования пакета Micro$oft Office на устаревшем оборудовании, работающем под управлением взломанной Window$ XP.

LoadedDice