15 kwietnia 2015

Kroniki Hellsinga: szpieg kontra szpieg

Kaspersky Lab odnotował rzadki i nietypowy incydent, w którym jedna formacja cyberprzestępcza zaatakowała drugą. W 2014 r. Hellsing, niewielkie i niczym niewyróżniające się pod względem technicznym ugrupowanie cyberszpiegowskie atakujące głównie organizacje rządowe i dyplomatyczne w Azji, stał się celem ukierunkowanego ataku przeprowadzonego przez inną grupę cyberprzestępczą i postanowił wziąć odwet. Kaspersky Lab uważa, że może to zwiastować pojawienie się nowego trendu w dziedzinie cyberprzestępczości: wojen APT.




Eksperci z Kaspersky Lab dokonali wspomnianego odkrycia podczas badania aktywności Naikona - ugrupowania cyberszpiegowskiego atakującego organizacje w regionie Azji i Pacyfiku. Specjaliści zauważyli, że jeden z celów Naikona zidentyfikował próbę zainfekowania swoich systemów poprzez spersonalizowaną wiadomość e-mail (tzw. spear-phishing) zawierającą szkodliwy załącznik.

Cel ataku zweryfikował autentyczność e-maila u nadawcy i - najwyraźniej nieusatysfakcjonowany odpowiedzią - nie otworzył załącznika. Następnie przesłał nadawcy wiadomość zawierającą swoje własne szkodliwe oprogramowanie. Działanie to zainicjowało badanie przeprowadzone przez Kaspersky Lab i doprowadziło do wykrycia grupy APT Hellsing. Metoda kontrataku sugeruje, że Hellsing chciał zidentyfikować grupę Naikon i zebrać informacje na jej temat.

Wykonana przez Kaspersky Lab głębsza analiza grupy cyberprzestępczej Hellsing naprowadziła na trop wiadomości zawierających szkodliwe załączniki, których celem było rozprzestrzenianie oprogramowania szpiegowskiego do różnych organizacji. Gdy ofiara otworzyła szkodliwy załącznik, jej system był infekowany specjalnie stworzonym backdoorem zdolnym do pobierania i wysyłania plików, jak również aktualizowania i odinstalowywania siebie. Z badania Kaspersky Lab wynika, że liczba organizacji zaatakowanych przez grupę Hellsing wynosi blisko 20.

Cele ugrupowania Hellsing

Kaspersky Lab wykrył i zablokował szkodliwe oprogramowanie grupy Hellsing w Malezji, na Filipinach, w Indiach, Indonezji oraz Stanach Zjednoczonych, przy czym większość ofiar zlokalizowana była w Malezji i na Filipinach. Atakujący są niezwykle wybiórczy odnośnie swoich celów, infekując głównie instytucje rządowe i dyplomatyczne.



"Atak na grupę Naikon przeprowadzony przez ugrupowanie Hellsing jest dość nietypowy. Wprawdzie w przeszłości odnotowaliśmy przypadki, gdy ugrupowania APT atakowały siebie nawzajem, jednak zazwyczaj robiły to w sposób niezamierzony, kradnąc książki adresowe swoich ofiar, a następnie wysyłając masowo wiadomości do wszystkich osób znajdujących się na takich listach. Jednak biorąc pod uwagę cele i pochodzenie omawianego ataku, wydaje się bardziej prawdopodobne, że jest to przykład celowego ataku jednego ugrupowania cyberprzestępców na drugie" - powiedział Costin Raiu, dyrektor Globalnego Zespołu ds. Badań i Analiz (GReAT), Kaspersky Lab.

Z analizy przeprowadzonej przez Kaspersky Lab wynika, że cyberugrupowanie Hellsing jest aktywne od co najmniej 2012 r.

Jak się chronić

W celu zapewnienia ochrony przed atakami grupy Hellsing Kaspersky Lab zaleca stosowanie następujących zasad bezpieczeństwa:
  • Nie otwieraj podejrzanych załączników od osób, których nie znasz.
  • Uważaj na chronione hasłem archiwa zawierające pliki SCR oraz inne obiekty wykonywalne.
  • Jeśli masz podejrzenia co do załącznika otrzymanej wiadomości, spróbuj otworzyć go w bezpiecznej przeglądarce (sandbox).
  • Upewnij się, że posiadasz najnowszy system operacyjny z zainstalowanymi wszystkimi łatami.
  • Uaktualnij wszystkie aplikacje innych producentów, takie jak Microsoft Office, Java, Adobe Flash Player oraz Adobe Reader.
Produkty Kaspersky Lab skutecznie wykrywają i blokują szkodliwe oprogramowanie wykorzystywane zarówno przez ugrupowanie Hellsing, jak i Naikon.

Szczegóły techniczne dotyczące ugrupowania Hellsing są dostępne w serwisie SecureList.pl prowadzonym przez Kaspersky Lab: http://securelist.pl/analysis/7309,kroniki_hellsinga_imperium_kontratakuje.html.

Informację można wykorzystać dowolnie z zastrzeżeniem podania firmy Kaspersky Lab jako źródła.

Wszystkie informacje prasowe Kaspersky Lab Polska są dostępne na stronie http://www.kaspersky.pl/news.