O nouă campanie de spionaj informatic identificată: Casa Albă a fost afectată
0Echipa Global Research and Analysis Team din cadrul Kaspersky Lab a publicat un raport cu informaţii despre o nouă campanie de spionaj cibernetic care utilizează malware pentru atacuri împotriva unor entităţi la nivel înalt, printre care se numără şi Casa Albă şi Departamentul de Stat al SUA. Lista ţintelor include, de asemenea, mai multe organizaţii guvernamentale şi comerciale din Germania, Coreea de Sud şi Uzbekistan.
Pentru efectuarea acestor atacuri foarte precise împotriva unor ţinte la nivel înalt, atacatorii utilizează instrumente adiţionale foarte complexe de criptare şi anti-detecţie. Astfel, programul malware utilizat caută automat anumite soluţii de securitate instalate pe dispozitivele vizate, cu scopul de a le evita. Printre acestea se numără soluţiile de securitate Kaspersky Lab, Sophos, DrWeb, Avira, Crystal şi Comodo Dragon.
Legături cu alte atacuri de spionaj
Experţii Kaspersky Lab au descoperit funcţii ale programului malware şi structuri similare cu cele utilizate în cadrul campaniilor de spionaj MiniDuke, CosmicDuke şi OnionDuke; operaţiuni care, conform mai multor indicatori, au fost administrate de vorbitori de limbă rusă. Informaţiile descoperite de experţii Kaspersky Lab arată că operaţiunile MiniDuke şi CosmicDuke sunt în continuare active şi ţintesc organizaţii diplomatice, ambasade, companii din industria energetică, petrolieră şi a gazelor, telecom, din sectorul militar şi instituţii academice şi de cercetare din mai multe ţări.
Metoda de distribuţie
Ţintele vizate de CozyDuke sunt atacate prin intermediul unor mesaje e-mail de tip spearphishing, care conţin link-uri către un website infectat – un site legitim foarte important, de tipul „diplomacy.pl” – care găzduieşte arhive ZIP cu malware. O altă tehnică folosită în atacurile CozyDuke şi de succes, în general, în multe atacuri cu ţintă predefinită este ingineria socială. Astfel, atacatorii distribuie prin intermediul e-mail-ului videoclipuri de tip flash, care includ executabile periculoase ataşate.
În timp ce angajatul organizaţei atacate vizionează videoclipul, malware-ul se instalează discret în sistem şi trimite informaţii confidenţiale despre ţintă către un server de comandă şi control. Totodată, primeşte fişiere de configurare şi module adiţionale care implementează funcţionalităţi suplimentare necesare atacatorilor.
„Monitorizăm campaniile MiniDuke şi CosmicDuke, deja, de doi ani,” a declarat Kurt Baumgartner, Principal Security Researcher în cadrul echipei Global Research And Analysis Team, Kaspersky Lab. „Experţii Kaspersky Lab au fost primii care au avertizat utilizatorii cu privire la atacurile MiniDuke în 2013, descoperind mostre de malware care datau încă din 2008. Campania CozyDuke este legată de cele două campanii, precum şi de operaţiunea de spionaj cibernetic OnionDuke. Fiecare actor continuă să-şi urmărească victimele şi credem că instrumentele lor de spionaj sunt dezvoltate şi administrate de vorbitori de limbă rusă,” a explicat Kurt Baumgartner.
Produsele de securitate Kaspersky Lab detectează toate mostrele cunoscute de malware şi protejează utilizatorii de aceste ameninţări cibernetice.
Sfaturi pentru utilizatori:
- Nu deschideţi fişiere şi link-uri de la persoane pe care nu le cunoaşteţi
- Scanaţi frecvent PC-ul cu ajutorul unei soluţii antimalware eficiente
- Fiţi atenţi la arhive ZIP care conţin fişiere SFX
- Dacă nu sunteţi siguri cu privire la securitatea fişierului, încercaţi să îl deschideţi în sandbox
- Asiguraţi-vă că folosiţi un sistem de operare de ultimă generaţie şi că îl actualizaţi constant
- Actualizaţi toate programele instalate, precum Microsoft Office, Java, Adobe Flash Player şi Adobe Reader, la cele mai noi versiuni.