Троянский код: что известно о тайных знаках хакеров внутри вирусов

В "троянцах", которые выявляют специалисты "Лаборатории Касперского" и представители других компаний, занимающихся обеспечением информационной безопасности, нередко находят осмысленные фразы. Ими могут быть как ругательства или обращения, так и выдержки из сонетов Шекспира или цитаты из "Преступления и наказания" и "Братьев Карамазовых" Достоевского.

"Известия" расспросили IT-исследователей, для чего вирусописатели вставляют в код вредоносной программы такие метки, а также собрали самые интересные случаи обнаружения подобных тайных знаков.

Цифровые "поэты"

Чтобы компьютерная программа заработала, как известно, нужно написать код. На любом языке программирования код — это подборка букв и цифр. То есть инструкции для компьютера, соблюдая которые он выполняет поставленный алгоритм.

Любые языки (в том числе и для общения) предполагают заимствования и цитаты. Языки программирования — не исключение. Поэтому время от времени эксперты по компьютерной безопасности, расследуя тот или иной кейс, находят внутри кода оставленные им или человечеству послания.

Смысл этих посланий понятен не всегда, рассказали "Известиям" в "Лаборатории Касперского". Один из последних случаев, где внутри зловреда были оставлены фразы из Шекспира и Достоевского, предполагает несколько причин, по которым они могли там возникнуть.

— Может быть, это было сделано как послание человечеству, — рассуждает эксперт "Лаборатории Касперского" Мария Гарнаева, которая исследовала этот "троянец", — либо чтобы просто посмеяться, либо для обхода простейшего сигнатурного детектирования.

Цифровыми "поэтами" оказались представители группировки Obsydian Gargoyle. Их Мария Гарнаева называет низкоквалифицированными мошенниками, так как инструменты, которые они используют для атак, очень просты: фишинговые письма про COVID-19, фишинговые сайты и простые зловреды. С другой стороны, все их атаки были довольно эффективными.

— Эти злоумышленники несколько раз вставляли фразы на английском языке внутрь вредоносного макроса кода, — говорит эксперт. — Фрагмент из шекспировского сонета 116, два отрывка из "Братьев Карамазовых" и один из "Преступления и наказания" Достоевского.

Из шекспировского сонета 116 были использованы вот эти строки:

Любовь — над бурей поднятый маяк,

Не меркнущий во мраке и тумане.

Любовь — звезда, которою моряк

Определяет место в океане.

Любовь — не кукла жалкая в руках

У времени, стирающего розы

На пламенных устах и на щеках,

И не страшны ей времени угрозы.

А если я не прав и лжет мой стих,

То нет любви — и нет стихов моих.

В других местах макроса были обнаружены следующие цитаты из Достоевского:

"Главное, самому себе не лгите. Лгущий самому себе и собственную ложь свою слушающий до того доходит, что уж никакой правды ни в себе, ни кругом не различает, а стало быть, входит в неуважение к себе и другим". ("Братья Карамазовы")

"Ужасно то, что красота есть не только страшная, но и таинственная вещь. Тут дьявол с Богом борется, а поле битвы — сердца людей". ("Братья Карамазовы")

"Соврать по-своему — ведь это почти лучше, чем правда по одному, по-чужому". ("Преступление и наказание")

Из песни выкинуть слова

Специалисты Group-IB вспомнили случай, когда, анализируя вредоносный файл "Договор.docx", который в 2018 году рассылала своим банкам группа Silence (файл эксплуатировал уязвимость CVE-2017-0262 в MS Word), они нашли скрипт, который отличался наличием переменных с именами, составленными из слов песни Snuff металлистов Slipknot (You-sold-me-out-to-save-yourself — "Ты-продал-меня-чтобы-спасти-себя").

— До Silence этот вредоносный файл использовала группа APT28 (или Fancy Bear), — отметили в Group-IB. — Специалисты Silence, позаимствовав у них документ для своих рассылок, не стали менять эту часть скрипта. Любопытно, как и большинство финансово-мотивированных групп того времени (Cobalt, MoneyTaker), участники Silence были русскоговорящими, о чем среди прочего свидетельствовал и язык команд программ.

По словам специалистов Group-IB, большинство команд "троянца" Silence — русские слова, набранные на английской раскладке: htrjyytrn > reconnect > реконнект. htcnfhn > restart > рестарт. ytnpflfybq > notasks > нетзадач.

Иногда внутри кода появляются слова, которые используются для общения вирусописателей с вирусоискателями. Впрочем, таким образом злоумышленники могут общаться и между собой.

Известен пример, когда вирусы Mydoom, Netsky и Bagle бесконечно видоизменялись, чтобы общаться друг с другом, помещая внутрь послания фразы типа: "Мы — Скайнет. Вы не можете спрятаться!" "Мы убиваем авторов вредоносных программ (у них нет шансов!)". "MyDoom.F — вор нашей идеи!"

Эту переписку 2004 года исследовали как в "Лаборатории Касперского", так и в финской корпорации F-Secure Corp.

Вирусный исследователь F-Secure Corp Микко Хиппонен жаловался тогда прессе: "Пожалуй, больше всего беспокоит то, что вирусописатели, похоже, выводят игру в кошки-мышки с антивирусными фирмами на новый уровень. Если цель состоит в том, чтобы утомить "антивирусных людей", они преуспевают в этом. Моя команда действительно устала. Мы работаем всю ночь и по выходным".

Не только ругательства

Впрочем, самой распространенной фразой, которую вирусописатели используют для "общения" с миром, является, конечно же, F*** you, которую "Яндекс" переводит как "Хрен вам". Именно она была чаще всего вставлена в самые разные коды. Эти слова появляются как у APT-группировок (программисты высокого уровня, которые чаще всего привлекаются для работы в шпионских целях. — "Известия"), так и у вирусописателей самого низкого уровня.

В "Лаборатории Касперского" "Известиям" показали фрагмент кода, где с помощью этих двух слов обращаются к сотрудникам лаборатории.

Впрочем, иногда для общения даже не нужен код. Однажды международная хакерская группировка MuddyWater оставила вот такое послание на официальном сайте под ежегодным отчетом "Лаборатории Касперского", куда компания помещает главных злоумышленников года, анализируя их "заслуги":

"Уважаемый KasperSky, это сообщение от MuddyWater.

Мы пишем это письмо в знак протеста против недавнего отчета.

Мы считаем, что третье место для MuddyWater несправедливо. Если бы вы следили за нами, вы бы поняли, что наша деятельность — это гораздо больше, чем то, что вы описали в этом посте.

Кстати, это только начало…

MuddyWater"