22 kwietnia 2015

Książę powrócił: Kaspersky Lab wykrywa nowe cyberzagrożenie CozyDuke związane z niesławną kampanią MiniDuke

Globalny Zespół ds. Badań i Analiz (GReAT) z Kaspersky Lab opublikował raport poświęcony nowej, zaawansowanej kampanii cyberszpiegowskiej wykorzystującej szkodliwe oprogramowanie do atakowania szczegółowo wybranych celów najwyższego szczebla. Ofiary – zlokalizowane głównie na terenie Stanów Zjednoczonych – mogą obejmować Biały Dom oraz Departament Stanu, a na liście celów atakujących znalazły się także organizacje rządowe i firmy z Niemiec, Korei Południowej i Uzbekistanu.


Poza faktem atakowania celów najwyższego szczebla nowa operacja cyberprzestępcza wyróżnia się także innymi alarmującymi cechami - zastosowaniem zaawansowanych możliwości szyfrowania i zapobiegania wykryciu poprzez „walkę” z oprogramowaniem antywirusowym.

Powiązania z innymi kampaniami cyberprzestępczymi

Eksperci z Kaspersky Lab wykryli w omawianej operacji rozbudowany zakres szkodliwej funkcjonalności oraz podobieństwa do wcześniejszych kampanii cyberszpiegowskich: MiniDuke, CosmicDuke i OnionDuke, za którymi prawdopodobnie stoją atakujący posługujący się językiem rosyjskim. Badania Kaspersky Lab potwierdzają, że operacje MiniDuke oraz CosmicDuke są w dalszym ciągu aktywne, a na ich celowniku znajdują się organizacje dyplomatyczne, ambasady, firmy z branży energetycznej, naftowej, gazowej, telekomunikacyjnej i wojskowej, a także jednostki badawcze i naukowe w wielu krajach.

Metody dystrybucji

Szkodliwe programy wykorzystywane w ramach kampanii CozyDuke atakują swoje ofiary przede wszystkim poprzez spersonalizowane phishingowe wiadomości e-mail z odnośnikiem do zhakowanej strony WWW - w niektórych przypadkach były to oficjalne witryny niewzbudzające żadnych podejrzeń (np. strona "diplomacy.pl", na której atakujący umieścili archiwum ZIP ze szkodliwym programem). W innych przypadkach atakujący wysyłali wiadomości zawierające rzekome filmy, które w rzeczywistości były zainfekowanymi plikami wykonywalnymi.

Do przeprowadzania szkodliwych działań na komputerze ofiary CozyDuke stosuje trojana, który wysyła informacje o systemie do serwera kontrolowanego przez cyberprzestępców. W odpowiedzi trojan otrzymuje polecenia oraz dodatkowe moduły dodające dalszą funkcjonalność wymaganą przez atakujących.

„Monitorujemy kampanie MiniDuke oraz CosmicDuke już od kilku lat – w 2013 r. Kaspersky Lab jako pierwsza firma z branży ostrzegła świat o atakach operacji MiniDuke. Nasze badania wykazały, że CozyDuke jest powiązany z tymi kampaniami, a także z operacją OnionDuke. Wszystkie te kampanie są ciągle aktywne i atakują swoje cele. Ponadto, wykryte przez nas ślady pozwalają sądzić, że za narzędziami szpiegowskimi wykorzystywanymi w omawianych atakach stoją osoby posługujące się biegle językiem rosyjskim” – powiedział Kurt Baumgartner, główny badacz ds. bezpieczeństwa, Globalny Zespół ds. Badań i Analiz, Kaspersky Lab.

Produkty Kaspersky Lab chronią przed wszystkimi wykrytymi szkodliwymi programami wykorzystywanymi w ramach kampanii cyberszpiegowskiej CozyDuke.

Porady bezpieczeństwa dla użytkowników

  • Nie otwieraj załączników z wiadomości pochodzących od nadawców, których nie znasz.
  • Regularnie skanuj swój komputer skutecznym i aktualnym rozwiązaniem antywirusowym.
  • Uważaj na archiwa ZIP, w których znajdują się pliki SFX.
  • Jeżeli nie masz pewności co do załącznika wiadomości, nie otwieraj go lub skontaktuj się z nadawcą.
  • Upewnij się, że korzystasz z nowoczesnego systemu operacyjnego z zainstalowanymi wszystkimi uaktualnieniami.
  • Dbaj o szybkie instalowanie uaktualnień dla wszystkich aplikacji, z których korzystasz, takich jak Microsoft Office, Java, Adobe Flash Player czy Adobe Reader.
Więcej informacji technicznych na temat operacji „CozyDuke” znajduje się w języku angielskim na stronie http://securelist.com/blog/69731/the-cozyduke-apt.

Informację można wykorzystać dowolnie z zastrzeżeniem podania firmy Kaspersky Lab jako źródła.

Wszystkie informacje prasowe Kaspersky Lab Polska są dostępne na stronie http://www.kaspersky.pl/news.