15 października 2018

Cyberszpiedzy podszywają się pod popularny komunikator internetowy w celu przeprowadzania ataków ukierunkowanych na placówki dyplomatyczne w Azji Środkowej

Badacze z Kaspersky Lab zidentyfikowali falę ataków ukierunkowanych wymierzonych w organizacje dyplomatyczne z Azji Środkowej mających na celu cyberszpiegostwo. Trojan o nazwie "Octopus" podszywał się pod popularny i legalny komunikator internetowy Telegram. Jego specjalna wersja została rzekomo przygotowana z uwagi na potencjalny zakaz korzystania z legalnej wersji aplikacji w tym regionie. Po zainstalowaniu trojan Octopus zapewniał atakującym zdalny dostęp do komputerów ofiar.


Ugrupowania cyberprzestępcze nieustannie dążą do wykorzystywania współczesnych trendów i dostosowują swoje metody w celu naruszania prywatności użytkowników, a także zdobywania poufnych informacji na całym świecie. W tym przypadku potencjalny zakaz korzystania z popularnego komunikatora Telegram pozwolił atakującym zaplanować ataki z wykorzystaniem trojana Octopus, który zapewnił zdalny dostęp do komputerów ofiar.

Cyberprzestępcy rozprzestrzeniali Octopusa w archiwum podszywającym się pod rzekomą wersję komunikatora internetowego Telegram przygotowaną specjalnie dla kazachskich partii opozycyjnych. Moduł uruchamiający, który krył trojana, został zakamuflowany przy użyciu rozpoznawalnego symbolu jednej z opozycyjnych partii politycznych z tego regionu. Po aktywowaniu trojan umożliwiał cyberprzestępcom wykonywanie różnych operacji na danych znajdujących się w zainfekowanym komputerze, takich jak usuwanie, blokowanie, modyfikowanie, kopiowanie oraz pobieranie. Tym samym atakujący mogli szpiegować swoje ofiary, kraść poufne dane oraz otwierać "tylne drzwi" do systemów. W tym schemacie działań można wyróżnić kilka podobieństw do operacji cyberszpiegowskiej o nazwie Zoo Park, w której szkodliwe oprogramowanie wykorzystane w atakach podszywało się pod aplikację Telegram w celu szpiegowania ofiar.

Przy pomocy algorytmów rozpoznających podobieństwa w kodzie oprogramowania badacze z Kaspersky Lab ustalili, że Octopus może być powiązany z DustSquad - rosyjskojęzycznym ugrupowaniem cyberszpiegowskim, którego działania były wykrywane od 2014 r. w państwach należących do byłego Związku Radzieckiego w Azji Środkowej, jak również w Afganistanie. W ciągu ostatnich dwóch lat badacze wykryli cztery kampanie tego cybergangu wykorzystujące specjalnie przygotowane szkodliwe oprogramowanie dla systemów Android i Windows, którego celem byli zarówno użytkownicy prywatni, jak i placówki dyplomatyczne.

W 2018 r. wiele ugrupowań cyberprzestępczych atakowało placówki dyplomatyczne zlokalizowane w Azji Środkowej. DustSquad działa w tym regionie od kilku lat i niewykluczone, że to właśnie ta grupa stoi za nowym zagrożeniem. Najwyraźniej zainteresowanie sprawami cybernetycznymi w tym regionie nieustannie rośnie. Tamtejszym użytkownikom i organizacjom radzimy zachować czujność, jeśli chodzi o systemy - powiedział Denis Legezo, badacz ds. cyberbezpieczeństwa, Kaspersky Lab.

W celu zmniejszenia ryzyka związanego z zaawansowanymi cyberatakami Kaspersky Lab zaleca stosowanie następujących środków:

  • Szkolenie personelu w zakresie higieny cyfrowej i wyjaśnienie, jak rozpoznawać oraz unikać potencjalnie szkodliwych aplikacji lub plików. Na przykład, pracownicy nie powinni pobierać ani uruchamiać żadnych aplikacji ani programów pochodzących z niezaufanych lub nieznanych źródeł.
  • Wykorzystywanie niezawodnego rozwiązania bezpieczeństwa punktów końcowych z funkcjonalnością kontroli aplikacji, która ogranicza możliwości programów w zakresie uruchamiania lub uzyskiwania dostępu do krytycznych zasobów systemowych.
  • Wdrożenie zestawu rozwiązań i technologii do ochrony przed atakami ukierunkowanymi takich jak Kaspersky EDR. Mogą one pomóc w wykrywaniu szkodliwej aktywności w sieci oraz skutecznym badaniu i reagowaniu na ataki poprzez blokowanie ich rozwoju.
  • Zapewnienie dostępu zespołowi ds. bezpieczeństwa dostępu do profesjonalnej analizy zagrożeń.
Szczegóły techniczne dotyczące ataków trojana Octopus znajdują się na stronie https://r.kaspersky.pl/Cw4Eb.

Informację można wykorzystać dowolnie z zastrzeżeniem podania firmy Kaspersky Lab jako źródła.

Wszystkie informacje prasowe Kaspersky Lab Polska są dostępne na stronie https://www.kaspersky.pl/nowosci.