14 maja 2015

Kampania Naikon - cyberataki infiltrujące państwa wokół Morza Południowochińskiego

Od rozmieszczania infrastruktury szpiegowskiej wewnątrz państwa w celu śledzenia połączeń w czasie rzeczywistym oraz wydobywania danych po narzędzia szpiegujące obsługujące 48 poleceń - nowy raport Kaspersky Lab ujawnia, jak ugrupowanie cyberprzestępcze Naikon przez ostatnie pięć lat skutecznie infiltrowało organizacje w krajach wokół Morza Południowochińskiego.


Eksperci ustalili, że ugrupowanie cyberprzestępcze Naikon jest chińskojęzyczne, a jego główne cele stanowią agencje rządowe najwyższego szczebla, jak również organizacje cywilne i wojskowe w takich państwach jak Filipiny, Malezja, Kambodża, Indonezja, Wietnam, Birma, Singapur, Nepal Tajlandia, Laos oraz Chiny.

Kaspersky Lab zidentyfikował następujące cechy charakterystyczne operacji Naikon:
  • Każde atakowane państwo posiada wyznaczonego operatora - osobę, której zadanie polega na wykorzystaniu kulturowych aspektów danego kraju, takich jak tendencja do korzystania z prywatnych kont pocztowych do celów związanych z pracą.
  • Rozmieszczanie infrastruktury cyberprzestępczej wewnątrz infiltrowanego państwa, która zapewnia codzienną obsługę połączeń w czasie rzeczywistym oraz wyprowadzanie danych.
  • Co najmniej pięć lat intensywnej, publicznej aktywności związanej z atakami geopolitycznymi.
  • Kod niezależny od platformy oraz przechwytywanie całego ruchu sieciowego.
  • Obsługa 48 poleceń w repertuarze zdalnego narzędzia administracyjnego, łącznie z poleceniami przeprowadzenia pełnej inwentaryzacji ofiary, pobierania i wysyłania danych, instalowania dodatkowych modułów lub pracy przy użyciu wiersza poleceń.
Grupa cyberprzestępcza Naikon została po raz pierwszy wspomniana przez Kaspersky Lab w jednym z najnowszych raportów pt. "Kroniki Hellsinga: Imperium kontratakuje". Grupa ta odgrywała kluczową rolę w nietypowej historii dotyczącej zemsty w świecie zaawansowanych długotrwałych zagrożeń (APT). Hellsing to kolejne ugrupowanie cyberprzestępcze, które postanowiło wziąć odwet po tym, jak zostało zaatakowane przez grupę Naikon.


"Przestępcom stojącym za atakami Naikon udało się stworzyć niezwykle elastyczną infrastrukturę, która może zostać rozmieszczona w każdym atakowanym państwie, umożliwiając tunelowanie informacji z systemów ofiar do centrum kontroli. Jeśli atakujący postanowią następnie polować na kolejny cel w innym państwie, mogą po prostu ustanowić nowe połączenie. Dużym ułatwieniem pracy dla ugrupowania szpiegowskiego Naikon jest również posiadanie wyspecjalizowanych, lokalnych operatorów skupionych na konkretnej grupie celów" - powiedział Kurt Baumgartner, główny badacz bezpieczeństwa, Globalny Zespół ds. Badań i Analiz (GReAT), Kaspersky Lab.

Naikon atakuje swoje cele przy użyciu tradycyjnych technik spersonalizowanych wiadomości phishingowych (tzw. spear-phishing), w których wykorzystywane są e-maile zawierające załączniki mogące zainteresować potencjalną ofiarę. Taki załącznik może przypominać dokument pakietu MS Office, w rzeczywistości jednak stanowi plik wykonywalny z podwójnym rozszerzeniem.

Aby zabezpieczyć się przed atakami grupy Naikon i podobnymi cyberzagrożeniami, warto skorzystać z porad przygotowanych przez ekspertów z Kaspersky Lab:
  • Nie otwieraj załączników ani odsyłaczy pochodzących od nieznanych osób.
  • Korzystaj z zaawansowanego rozwiązania antywirusowego.
  • Jeśli nie masz pewności co do załącznika, zrezygnuj z otwierania go lub skontaktuj się z nadawcą w celu potwierdzenia pochodzenia pliku.
  • Upewnij się, że posiadasz aktualną wersję systemu operacyjnego z zainstalowanymi wszystkimi dostępnym łatami.
Dzięki technologii Automatyczne zapobieganie exploitom oprogramowanie Kaspersky Lab wykrywa komponenty kampanii Naikon jako: Exploit.MSWord.CVE-2012-0158, Exploit.MSWord.Agent, Backdoor.Win32.MsnMM, Trojan.Win32.Agent oraz Backdoor.Win32.Agent.

Pełny raport poświęcony ugrupowaniu Naikon jest dostępny w języku polskim w serwisie SecureList.pl prowadzonym przez Kaspersky Lab: http://r.kaspersky.pl/ZppGt.

Informację można wykorzystać dowolnie z zastrzeżeniem podania firmy Kaspersky Lab jako źródła.

Wszystkie informacje prasowe Kaspersky Lab Polska są dostępne na stronie http://www.kaspersky.pl/news.