O nouă campanie de spionaj cibernetic. Ţintele: Casa Albă şi Departamentul de Stat al SUA

28 aprilie 2015, 12:43 de Bogdan Biszok

Ultima modificare în 28 aprilie 2015, 12:51

Echipa Global Research and Analysis Team din cadrul Kaspersky Lab a publicat un raport cu informații despre o nouă campanie de spionaj cibernetic care utilizează malware pentru atacuri împotriva unor entități la nivel înalt, printre care se numără și Casa Albă și Departamentul de Stat al SUA. Lista țintelor include, de asemenea,mai multe organizații guvernamentale și comerciale din Germania, Coreea de Sud și Uzbekistan.

Pentru efectuarea acestor atacuri foarte precise împotriva unor ținte la nivel înalt, atacatorii utilizează instrumente adiționalefoarte complexede criptare și anti-detecție. Astfel, programul malware utilizat caută automat anumite soluții de securitate instalate pe dispozitivele vizate,cu scopul de a le evita. Printre acestea se numără soluțiile de securitate Kaspersky Lab, Sophos, DrWeb, Avira, Crystal și Comodo Dragon.

Legături cu alte atacuri de spionaj

Experții Kaspersky Lab au descoperit funcții ale programului malware și structurisimilare cu cele utilizate în cadrul campaniilor de spionajMiniDuke, CosmicDuke și OnionDuke;operațiuni care, conform mai multor indicatori, au fost administrate de vorbitori de limbă rusă. Informațiile descoperite de experții Kaspersky Lab arată că operațiunile MiniDuke și CosmicDuke sunt în continuare active și țintesc organizații diplomatice, ambasade, companii din industria energetică, petrolieră și a gazelor, telecom, din sectorul militar și instituții academice și de cercetare din mai multe țări.

Metoda de distribuție

Țintele vizate de CozyDuke sunt atacate prin intermediul unor mesaje e-mail de tip spearphishing,care conțin link-uri către un website infectat –un sitelegitimfoarte important, de tipul „diplomacy.pl” – care găzduiește arhive ZIP cu malware. O altă tehnică folosită în atacurile CozyDuke și de succes, în general,în multe atacuri cu țintă predefinităeste ingineria socială. Astfel, atacatorii distribuie prin intermediul e-mail-ului videoclipuri de tip flash, care includ executabile periculoase atașate.

În timp ce angajatul organizaței atacatevizionează videoclipul, malware-ul se instalează discret în sistem șitrimite informații confidențiale despre țintă către un server de comandă și control. Totodată, primește fișiere de configurare și module adiționale care implementează funcționalități suplimentare necesare atacatorilor.

„Monitorizăm campaniile MiniDuke și CosmicDuke, deja, de doi ani,” a declarat Kurt Baumgartner, Principal Security Researcher în cadrul echipei Global Research And Analysis Team, Kaspersky Lab. „Experții Kaspersky Lab au fost primii care au avertizat utilizatorii cu privire la atacurile MiniDuke în 2013, descoperind mostre de malware care datau încă din 2008. Campania CozyDuke este legată de cele două campanii, precum și de operațiunea de spionaj cibernetic OnionDuke. Fiecare actor continuă să-și urmărească victimele și credem că instrumentele lor de spionaj sunt dezvoltate și administrate de vorbitori de limbă rusă,” a explicat Kurt Baumgartner.

Produsele de securitate Kaspersky Lab detectează toate mostrele cunoscute de malware și protejează utilizatorii de aceste amenințări cibernetice.

Sfaturi pentru utilizatori:
•   Nu deschideți fișiere și link-uri de lapersoane pe care nu le cunoașteți
•   Scanați frecvent PC-ul cu ajutorul unei soluții antimalware eficiente
•   Fiți atenți la arhive ZIP care conțin fișiere SFX
•   Dacă nu sunteți siguri cu privire la securitatea fișierului, încercați să îl deschideți în sandbox
•   Asigurați-vă că folosiți un sistem de operare de ultimă generație și că îl actualizați constant
•   Actualizați toate programele instalate, precum Microsoft Office, Java, Adobe Flash Player și Adobe Reader, la cele mai noi versiuni.