«Лаборатория Касперского» заявила, что обнаружила новое вредоносное ПО, которое, по всей видимости, было разработано Центральным разведывательным управлением США. Фирма сообщила, что обнаружила зловред в «наборе образцов вредоносного ПО», полученном аналитиками и другими службами безопасности в феврале 2019 года.
Хотя первоначальный анализ не обнаружил сходства кода с какими-либо ранее известными образцами вредоносных программ, но «Лаборатория Касперского» недавно повторно проанализировала файлы и обнаружила, что в них есть «пересечения шаблонов кодирования, стиля и методов, которые были замечены в различных программах семейства Lambert». Под этим кодовым названием фирма отслеживает хакерские операции ЦРУ.
Четыре года назад, после того как WikiLeaks раскрыла общественности возможности ЦРУ в серии утечек, известных как Vault7, американская компания по ИБ Symantec публично связала хакерские инструменты Vault7 с ЦРУ и Longhorn APT (еще одно отраслевое название Lambert).
«Лаборатория Касперского» говорит, что, учитывая общее сходство между этими недавно обнаруженными образцами и прошлыми вредоносными программами ЦРУ, новый кластер вредоносных программ получил название Purple Lambert.
Судя по метаданным Purple Lambert, образцы вредоносного ПО были собраны семь лет назад, в 2014 году. ИБ-исследователи заявили, что не фиксировали реальных случаев использования этого ПО, но считают, что его развернули не позднее 2015 года.
В описании Purple Lambert сказано, что вредоносное ПО действовало как бэкдор-троян, который прослушивал сетевой трафик для определенных пакетов, которые могли активировать его на зараженных хостах.
«Лаборатория Касперского» приводит полное описание зловреда в ежеквартальном отчете. По данным фирмы, Purple Lambert состоит из нескольких модулей, а его сетевой модуль способен предоставить злоумышленнику основную информацию о зараженной системе и выполнить полученную полезную нагрузку. Его функциональность напоминает Grey Lambert, который, в свою очередь, сменил White Lambert. Кроме того, Purple Lambert реализует функциональность, аналогичную и Gray Lambert, и White Lambert.
За исключением утечек Shadow Brokers и Vault7, новости об операциях кибершпионажа в США и хакерских инструментах крайне редки в сфере кибербезопасности. После утечки из Vault7 было зафиксировано всего три сообщения о вредоносных программах и хакерских операциях со стороны США.
Первым был отчет «Лаборатории Касперского» от марта 2018 года, в котором разоблачались операции по сбору разведывательной информации Киберкомандования США, направленные на боевиков ИГ на Ближнем Востоке.
Вторым был отчет ESET за ноябрь 2019 года, в котором был разоблачен DePriMon, еще один штамм вредоносного ПО, связанный с ЦРУ и Lambert.
Третий отчет был опубликован в марте 2020 года китайской охранной фирмой Qihoo 360. В нем говорилось об 11-летней хакерской операции ЦРУ, направленной на сектор гражданской авиации Китая.
