Разработчик (и) | Жан-Пьер Лесуэр (DarkCoderSc) |
---|---|
Окончательная версия | 5.3.1 |
Операционная система em | Microsoft Windows |
Тип | Инструмент удаленного администрирования |
Лицензия | бесплатное ПО |
Веб-сайт | https://www.darkcomet-rat.com/ |
DarkComet это троян удаленного доступа (RAT), разработанный Жан-Пьером Лесуэром (известным как DarkCoderSc), независимым программистом и кодировщиком компьютерной безопасности из Франции. Хотя RAT был разработан еще в 2008 году, он начал распространяться в начале 2012 года. Программа была прекращена, частично из-за ее использования в сирийской гражданской войне для наблюдения за активистами, но также из-за опасений ее автора быть арестованным по неназванным причинам. По состоянию на август 2018 года разработка программы «приостановлена на неопределенный срок», и загрузки на ее официальном сайте больше не предлагаются.
DarkComet позволяет пользователю управлять системой с помощью графического пользовательского интерфейса. Он имеет множество функций, которые позволяют пользователю использовать его в качестве инструмента удаленной административной помощи; однако DarkComet имеет множество функций, которые можно использовать злонамеренно. DarkComet обычно используется для слежки за жертвами путем создания снимков экрана, ввода ключей или кражи паролей.
В 2014 году DarkComet был связан с сирийским конфликтом. Люди в Сирии начали использовать безопасные соединения, чтобы обойти правительственную цензуру и наблюдение за Интернетом. Это заставило сирийское правительство прибегнуть к использованию RAT для слежки за своими гражданскими лицами. Многие считают, что именно это стало причиной арестов многих активистов в Сирии.
RAT распространялся через «заминированное сообщение чата Skype», которое состояло из сообщения со значком Facebook, которое на самом деле было исполняемым файлом который был разработан для установки DarkComet. После заражения машина жертвы попыталась отправить сообщение другим людям с тем же заминированным сообщением чата Skype.
После того, как DarkComet был связан с сирийским режимом, Lesueur прекратил разработку этого инструмента, заявив: «Я никогда не думал, что правительство будет использовать его для шпионажа», - сказал он. «Если бы я знал это, я бы никогда не создал такой инструмент».
В 2012 году компания Arbos Network обнаружила доказательства того, что DarkComet использовался для нацеливания на военных и геймеры неизвестными хакерами из Африки. В то время они в основном были нацелены на Соединенные Штаты.
После нападения 7 января 2015 года на Charlie Hebdo в журнале Paris хакеры использовали слоган «#JeSuisCharlie », чтобы обманом заставить людей загрузить DarkComet. DarkComet был замаскирован под изображение новорожденного ребенка, на браслете которого было написано «Je suis Charlie». Как только изображение было загружено, пользователи оказались скомпрометированы. Хакеры воспользовались катастрофой, чтобы взломать как можно больше систем. DarkComet был обнаружен в течение 24 часов после атаки.
DarkComet, как и многие другие RAT, использует архитектуру обратного сокета. Неинфицированный компьютер с графическим интерфейсом, позволяющим управлять зараженными, является клиентом, а зараженные системы (без графического интерфейса) - серверами.
Когда DarkComet запускается, сервер подключается к клиенту и позволяет клиенту управлять и контролировать сервер. На этом этапе клиент может использовать любую из функций, содержащихся в графическом интерфейсе. На сервере открывается сокет, который ожидает получения пакетов от контроллера и выполняет полученные команды.
Следующий список функций не является исчерпывающим, но является критически важным, что делает DarkComet опасным инструментом. Многие из этих функций могут использоваться для полного управления системой и предоставления клиенту полного доступа при предоставлении через UAC.
DarkComet также имеет некоторые «забавные функции».
DarkComet - широко известная часть вредоносного ПО. Если пользователь установит антивирус или средство для удаления дарккомет, он сможет быстро вылечить свой компьютер. Его целевыми машинами обычно являются все от Windows XP до Windows 10.
Общие антивирусные теги для приложения темной кометы следующие:
Когда компьютер заражен, он пытается для создания подключения через сокет к компьютеру контроллера. После того, как соединение установлено, зараженный компьютер прослушивает команды от контроллера, если контроллер отправляет команду, зараженный компьютер получает ее и выполняет любую отправленную функцию.