USA / Dino je špionážní malware, blízce příbuzný v minulosti odhalenými softwarovými špionážními nástroji Casper, Bunny nebo také Babar. Sdílené části kódu ukazují, že za jejich vývojem stojí špionážní skupina, známá v bezpečnostní komunitě jako Animal Farm.

Dino je malware typu backdoor – tedy malware, který umožňuje útočníkovi nepozorovaný přístup do operačního systému počítače. „Komplexní backdoor, jakým je například analyzovaný Dino, umožňuje plné převzetí kontroly nad počítačem,“ uvedl Joan Calvet, analytik ESET, který se podílel na rozkrytí fungování nového malware.

Dino má modulární strukturu a obsahuje řadu inovací, jimiž se odlišuje od svých příbuzných. Velice zajímavý je třeba modul vytvářející specializovaný souborový systém uložený v paměti, který umožňuje úspěšně tajit vykonávané operace. Dino disponuje také modulem plánovače úloh inspirovaným zjevně aplikací Cron známou z Unixových systémů. Zlepšení doznal také vyhledávací modul. Hromadné prohledávání souborů v infikovaných počítačích je pro hackery prakticky stejně komfortní jako pro legitimního uživatele vyhledávání v jeho vlastním počítači. Hledat je možné podle typu souboru, částí názvů, velikosti nebo data poslední změny.

„Hledání konkrétních souborů a jejich odesílání na řídící servery je pro tento malware evidentně tím klíčovým úkolem,“ uvedl Joan Calvet.

Dino nepatří k mezi malware, určený k masovému rozšíření – naopak, najít jeho vzorky je obtížné. Jde totiž o specializovaný malware, určený k dlouhodobému působení v systémech, které byly předtím detailně zmapovány s využitím „lehčího“ malware.

Většina dosud známých cílů útoků s využitím malware Dino je v Íránu; jsou to instituce, které mají blízko k jadernému průmyslu a souvisejícímu výzkumu.

Komentáře