Открытое ПО проекта марсохода применено для кибершпионажа

Библиотеки с открытым кодом, использовавшиеся в программном обеспечении марсианского вездехода, были обнаружены в составе вредоносного приложения, которое являлось элементом кампании кибершпионажа, развёрнутой против правительства Индии.

Как сообщила фирма Palo Alto Networks, 24 декабря 2015 г. посол Индии в Афганистане получил фишинговое электронное письмо с новой разновидностью вредоносной начинки. После загрузки и установки этот троянец открывал «чёрный ход» в правительственный компьютер. Сообщение было препарировано таким образом, чтобы его отправителем считался Манохар Паррикар (Manohar Parrikar), министр обороны Индии, и содержало файл RTF в качестве вложения.

Проанализировав этот файл эксперты из Пало-Альто выяснили, что в него внедрена программа, использующая уязвимость Office XP, CVE-2010-3333, для загрузки исполняемого файла «file.exe» с ресурса newsumbrealla[.]net. Этот файл, в свою очередь, является лишь посредником для загрузки реальной угрозы — троянца Rover.

Как можно догадаться из данного ему названия, именно он использует две библиотеки — OpenCV и OpenAL — знаменитого проекта самодвижущегося робота Mars Rover для исследования марсианской поверхности. OpenCV предназначена для приложений компьютерного зрения, а OpenAL это кросс-платформенная библиотека для работы с многоканальными аудиоданными.

Предоставляемые этими библиотеками возможности шпионское ПО применяет для получения снимков рабочего экрана, записи нажатий на клавиатуру, сканирования документов Office и загрузки данных на контролируемый преступниками сервер. «Чёрный ход» служит для передачи с сервера прямых команд: получить снимок экрана, начать запись видео через веб-камеру или аудио через микрофон.

Как отмечают сотрудники Palo Alto Networks, Rover лишён многих продвинутых функций, характерных для современных вредоносных программ, но со своими задачами справляется хорошо и остаётся незамеченным для основных антивирусных средств, что и требуется для шпионского ПО.