24 sierpnia 2020

DeathStalker: szczegółowa analiza cybergangu najemników szpiegującego małe i średnie firmy

Badacze z firmy Kaspersky opublikowali szczegółową analizę DeathStalkera - ugrupowania cybernajemników, które od co najmniej 2012 r. przeprowadzało skuteczne ataki szpiegowskie na małe i średnie firmy w sektorze finansowym. Najnowsze dane pokazują, że ugrupowanie to atakowało firmy na całym świecie, od Europy po Amerykę Łacińską, co podkreśla konieczność stosowania skutecznej cyberochrony w małych i średnich organizacjach.


Chociaż media najczęściej donoszą o ugrupowaniach cyberprzestępczych sponsorowanych przez rządy oraz o atakach zaawansowanych, firmy stykają się z całą gamą bardziej bezpośrednich zagrożeń. Od oprogramowania ransomware oraz wycieków danych po szpiegostwo przemysłowe - zagrożenia te wyrządzają równie duże szkody w zakresie operacji i wizerunku organizacji. Stoją za nimi koordynatorzy szkodliwego oprogramowania średniego szczebla, a niekiedy ugrupowania hakerskie "do wynajęcia", takie jak gang DeathStalker, monitorowany przez firmę Kaspersky od 2018 r.

DeathStalker to unikatowa grupa cyberprzestępcza, która koncentruje się głównie na działaniach szpiegowskich wymierzonych w kancelarie adwokackie oraz organizacje z sektora finansowego. Charakteryzuje ją niezwykła adaptacyjność oraz szybkie projektowanie oprogramowania, które pozwala przeprowadzać skuteczne kampanie przestępcze.

W swoim nowym badaniu eksperci z firmy Kaspersky połączyli aktywność ugrupowania DeathStalker z trzema rodzinami szkodliwego oprogramowania: Powersing, Evilnum oraz Janicab. Świadczy to o szerokim zakresie działań tej grupy, prowadzonych od co najmniej 2012 r. Szkodliwe oprogramowanie Powersing było monitorowane przez firmę Kaspersky od 2018 r., natomiast o dwóch pozostałych rodzinach szkodników informowali inni producenci z branży cyberbezpieczeństwa. Analizując podobieństwa w kodzie oraz w zakresie ofiar tych trzech rodzin szkodliwego oprogramowania, badacze stwierdzili ze średnim stopniem pewności, że są one ze sobą powiązane.

Taktyki, techniki oraz procedury ugrupowania nie uległy zmianie na przestrzeni lat: w celu dostarczenia archiwów zawierających szkodliwe pliki stosowano spersonalizowane wiadomości phishingowe. Po kliknięciu przez użytkownika skrótu następowało wykonanie szkodliwego skryptu, który pobierał dalsze komponenty z internetu. W ten sposób osoby atakujące mogły przejąć kontrolę nad urządzeniem ofiary.

Przykładem może być moduł Powersing - najwcześniej wykryty szkodliwy kod wykorzystywany przez ugrupowanie DeathStalker. Po zainfekowaniu urządzenia ofiary szkodnik może okresowo wykonywać zrzuty ekranu i uruchamiać dowolne skrypty. Stosując alternatywne metody przetrwania w zależności od zainstalowanego na zainfekowanym urządzeniu rozwiązania bezpieczeństwa, szkodnik jest w stanie uniknąć wykrycia, co sugeruje, że ugrupowanie potrafi wykonywać testy skuteczności rozwiązań bezpieczeństwa przed każdą kampanią oraz aktualizować swój kod zgodnie z wynikami takich analiz.

W kampaniach z użyciem szkodliwego oprogramowania Powersing ugrupowanie DeathStalker wykorzystuje również znaną publiczną usługę w celu wplecenia początkowej komunikacji szkodnika w "legalny" ruch sieci. Ma to na celu dodatkowe zwiększenie prawdopodobieństwa ominięcia systemów bezpieczeństwa.

Aktywność ugrupowania DeathStalker została wykryta na całym świecie, co obrazuje skalę jego operacji. Działania związane ze szkodnikiem Powersing zostały zidentyfikowane w Argentynie, Chinach, na Cyprze, w Izraelu, w Libanie, Szwajcarii, Tajwanie, Turcji, Wielkiej Brytanii oraz Zjednoczonych Emiratach Arabskich. Szczegółowe informacje dotyczące wskaźników infekcji (IoC) związanych z tym ugrupowaniem są dostępne w serwisie Kaspersky Threat Intelligence Portal.

DeathStalker to doskonały przykład ugrupowania cyberprzestępczego, przed którym powinny zabezpieczyć się organizacje w sektorze prywatnym. Chociaż często skupiamy uwagę na działaniach przeprowadzanych przez duże i dobrze znane gangi, DeathStalker przypomina nam, że organizacje, które zwykle nie stawiają bezpieczeństwa na pierwszym planie, powinny uświadomić sobie, że również mogą stać się celem. Co więcej, sądząc po nieprzerwanej aktywności ugrupowania DeathStalker, spodziewamy się, że nadal będzie ono stanowić zagrożenie, wykorzystując przeciwko organizacjom nowe narzędzia. Grupa ta jest niejako dowodem na to, że małe i średnie organizacje powinny zainwestować w ochronę oraz szkolenia w zakresie zwiększania świadomości dotyczącej zagrożeń - powiedział Iwan Kwiatkowski, starszy badacz ds. cyberbezpieczeństwa z zespołu GReAT firmy Kaspersky. Organizacjom, które chcą ochronić się przed ugrupowaniem DeathStalker, zalecamy, aby w miarę możliwości wyłączyły wykorzystywanie języków skryptowych, takich jak powershell.exe czy cscript.exe. Zalecamy również, aby przyszłe szkolenia zwiększające świadomość zagrożeń oraz oceny produktów bezpieczeństwa uwzględniały łańcuchy infekcji oparte na plikach LNK (skróty w systemie Windows).

Porady bezpieczeństwa

Badacze z firmy Kaspersky zalecają stosowanie następujących środków bezpieczeństwa pozwalających uchronić się przed atakiem ukierunkowanym znanego lub nieznanego cyberugrupowania:

  • Zapewnij swojemu zespołowi IT dostęp do najnowszej analizy zagrożeń. Serwis Kaspersky Threat Intelligence Portal to pojedynczy punt dostępu do analizy zagrożeń zapewniający szczegółowe dane dotyczące cyberataków, zgromadzone na przestrzeni ponad 20 lat.
  • Zadbaj o odpowiednią ochronę punktów końcowych, taką jak np. rozwiązanie Integrated Endpoint Security firmy Kaspersky. Łączy ono ochronę punktów końcowych z piaskownicą oraz funkcjonalnością EDR, skutecznie zabezpieczając przed zaawansowanymi zagrożeniami oraz zapewniając natychmiastową widoczność szkodliwej aktywności wykrytej na korporacyjnych punktach końcowych.
  • Ponieważ wiele ataków ukierunkowanych rozpoczyna się od phishingu lub zastosowania innej metody socjotechnicznej, wprowadź szkolenie w zakresie zwiększenia świadomości bezpieczeństwa oraz naukę praktycznych umiejętności - np. korzystając z usługi Kaspersky Automated Security Awareness Platform.
Pełna analiza ugrupowania DeathStalker jest dostępna na stronie https://r.kaspersky.pl/UxSns.

Badacze z firmy Kaspersky przedstawią więcej informacji na temat aktywności opisywanego cybergangu już wkrótce podczas webinarium "GReAT Ideas. Powered by SAS: advancing on new fronts - tech, mercenaries and more", które odbędzie się 26 sierpnia o godz. 16:00. Bezpłatna rejestracja jest dostępna na stronie https://kas.pr/v1oj.

Informację można wykorzystać dowolnie z zastrzeżeniem podania firmy Kaspersky jako źródła.

Wszystkie informacje prasowe są dostępne na stronie https://www.kaspersky.pl/nowosci.