W lutym brytyjska policja poinformowała, że jej specjalistom ds. bezpieczeństwa udało się zablokować złośliwą aplikację o nazwie LuminosityLink. Ów nowatorski koń trojański oferowany był przez swoich twórców jako „usługa szpiegująca” dostarczana w modelu zbliżonym do SaaS i na całym świecie miał ponad 8,5 tys. użytkowników.
Pierwsze przypadki infekcji LuminosityLink wykryto jeszcze w roku 2015. Aplikacja opisywana i reklamowana była przez swoich autorów jako standardowe narzędzie do zdalnego zarządzania komputerami z Windows – jednak de facto był to klasyczny RAT (remote-access trojan), instalowany w systemie bez wiedzy i zgody jego właściciela, a jednocześnie – pozwalający nieautoryzowanym użytkownikom na śledzenie jego aktywności i przechwytywanie danych. Aplikacja potrafiła rejestrować wszystkie dane wprowadzane za pomocą klawiatury, wyłączać oprogramowanie zabezpieczające czy wysyłać do swojego operatora pliki właściciela komputera.
Z informacji udostępnionych w lutym br. przez brytyjską Narodową Agencję ds. Zwalczania Przestępczości wynika, że aplikacji używało – do szpiegowania innych osób – ok. 8,6 tys. klientów z 78 krajów na całym świecie – tyle bowiem licencji na wspomniane oprogramowanie zostało wykupionych. Zdaniem przedstawicieli agencji, LuminosityLink był wyjątkowo niebezpiecznym malware’em – był bowiem łatwy w obsłudze nawet dla niezaawansowanych użytkowników, oferował szeroki wachlarz szpiegowskich funkcji i był promowany tak, że wielu potencjalnym klientom mógł wydawać się legalnym programem. Problem w tym, że jednocześnie aplikacja służyła do absolutnie nielegalnych działań.
Podczas śledztwa na komputerach użytkowników i developerów aplikacji znaleziono liczne dowody przestępstw – w tym dane setek ofiar przestępczego procederu (prywatne dane, hasła i loginy, materiały multimedialne itp.). Postępowanie w tej sprawie prowadzono od ubiegłego roku – we wrześniu 2017 dokonano większości aresztowań w Europie, USA oraz w Australii, zaś krótko później dezaktywowano trojana. Ze względów operacyjnych informacje na ten temat podano dopiero niedawno.
Z informacji przedstawionych przez brytyjską policję wynika, że do sprawnego funkcjonowania oprogramowania niezbędny był centralny serwer, za pośrednictwem którego odbywała się komunikacja pomiędzy komputerami ofiar a osobami, które szpiegowały użytkowników. Zablokowanie go przez policję sprawiło, że wszystkie kopie LuminosityLink nagle stały się nieaktywne i bezużyteczne.
Z analiz specjalistów ds. bezpieczeństwa wynika, że koń trojański atakował komputery z Windows korzystając z popularnego zestawu exploitów Sundown – używając do tego luk w odtwarzaczu Flash Player oraz systemie Windows. Zwykle były to starsze błędy, załatane już przez producentów oprogramowania – co oznacza, że użytkownicy instalujący na czas wszelkie aktualizacje mogli się czuć względnie bezpiecznie. W większości przypadków atak następował za pośrednictwem wiadomości e-mail podszywających się pod urzędową korespondencję. Odbywało się to na masową skalę – w 2016 roku eksperci firmy Palo Alto Networks alarmowali, że tylko w ciągu jednego miesiąca wykryli w swojej sieci 18 tys. tego rodzaju zainfekowanych e-maili.
