Компания FireEye сообщила об обнаружении опасного зловреда, получившего наименование Hammertoss. Специфика этой программы состоит в том, что ее присутствие и активность на инфицированном компьютере практически невозможно отследить. Создателям зловредов достаточно стабильно удается обходить все фильтры, предусмотренные даже самым совершенным защитным ПО. А потому чаще всего заражение обнаруживается именно по признакам активности, не свойственной тому или иному компьютеру – запуск ранее не использовавшихся программ, обращение к подозрительным серверам в интернете и т.д.

Однако Hammertoss способен полностью имитировать активность пользователя зараженного компьютера, не совершая ровно ничего подозрительного. Программа, например, получает инструкции через вполне неприметные сообщения в Twitter или коды, встроенные в файлы изображений на Github – очевидно, что обращение к этим ресурсам никаких подозрений вызвать не может. Более того, создатели Hammertoss, похоже, в состоянии даже подстроить работу зловреда под график работы конкретного пользователя – с тем, чтобы любая активность происходила в то время, когда она обычно и происходит.

Экспертам FireEye удалось обнаружить зловред в системах жертв атак со стороны загадочной кибергруппировки APT-29, за которой, как предполагается, могут стоять российские спецслужбы и правительственные структуры. В FireEye подчеркивают, что число заражений Hammertoss крайне невелико и зловред, по всей видимости, используется лишь против наиболее важных целей.