По данным экспертов, группировка действовала по меньшей мере с осени 2011 года, и за ней могут стоять разведслужбы неназванной страны. В своей шпионской деятельности хакеры использовали зловредное ПО под названием Remsec, при помощи которого они получали полный контроль над зараженными компьютерами и могли, в частности, перехватывать информацию, вводимую посредством клавиатуры.
В сообщении компании отмечается, что в коде Remsec упоминается Саурон - главный антагонист трилогии Джона Толкиена "Властелин колец". В то же время название группировки (Strider) отсылает к прозвищу другого персонажа романов – Арагорна. Кроме того, в коде шпионского ПО было обнаружено сходство с кодом зловреда Flamer, который эксперты ранее связывали с вирусом Stuxnet, который использовался для проникновения в компьютерные системы ядерных объектов Ирана.
По словам представителя Symantec Орлы Кокс, обнаружение новых классов шпионского ПО, вроде Remsec – довольно редкое событие, которое обычно происходит один или два раза в год.
Как уточняет SecurityLab, в общей сложности исследователи обнаружили следы инфицирования Remsec лишь на 36 компьютерах в семи не связанных между собой организациях. Так, следы вредоносного ПО были найдены в системах нескольких российских пользователей и организаций, китайской авиакомпании, шведской организации и посольства в Бельгии.
Зловред Remsec состоит из ряда модулей, работающих вместе как фреймворк, позволяющий злоумышленнику получить полный контроль над инфицированным компьютером, перемещаться внутри сети, похищать данные и при необходимости использовать дополнительные модули.
Избежать обнаружения вредоносу удается несколькими способами. Так, некоторые компоненты Remsec представляют собой исполняемые BLOB-объекты (Binary Large Objects), которые весьма сложно обнаружить с помощью традиционных антивирусных решений. Кроме того, значительная часть функционала Remsec развертывается по Сети, а значит, он сохраняется не на диске, а только в памяти компьютера.