Kaspersky Lab wykrywa nowe cyberzagrożenie CozyDuke związane z niesławną kampanią MiniDuke
Globalny Zespół ds. Badań i Analiz (GReAT) z Kaspersky Lab opublikował raport poświęcony nowej zaawansowanej kampanii cyberszpiegowskiej wykorzystującej szkodliwe oprogramowanie do atakowania szczegółowo wybranych celów najwyższego szczebla.
Ofiary – zlokalizowane głównie na terenie Stanów Zjednoczonych – mogą obejmować Biały Dom oraz Departament Stanu, a na liście celów atakujących znalazły się także organizacje rządowe i firmy z Niemiec, Korei Południowej i Uzbekistanu.
Poza faktem atakowania celów najwyższego szczebla nowa operacja cyberprzestępcza wyróżnia się także innymi alarmującymi cechami - zastosowaniem zaawansowanych możliwości szyfrowania i zapobiegania wykryciu poprzez „walkę” z oprogramowaniem antywirusowym.
Powiązania z innymi kampaniami cyberprzestępczymi
Eksperci z Kaspersky Lab wykryli w omawianej operacji rozbudowany zakres szkodliwej funkcjonalności oraz podobieństwa do wcześniejszych kampanii cyberszpiegowskich: MiniDuke, CosmicDuke i OnionDuke, za którymi prawdopodobnie stoją atakujący posługujący się językiem rosyjskim. Badania Kaspersky Lab potwierdzają, że operacje MiniDuke oraz CosmicDuke są w dalszym ciągu aktywne, a na ich celowniku znajdują się organizacje dyplomatyczne, ambasady, firmy z branży energetycznej, naftowej, gazowej, telekomunikacyjnej i wojskowej, a także jednostki badawcze i naukowe w wielu krajach.
Metody dystrybucji
Szkodliwe programy wykorzystywane w ramach kampanii CozyDuke atakują swoje ofiary przede wszystkim poprzez spersonalizowane phishingowe wiadomości e-mail z odnośnikiem do zhakowanej strony WWW - w niektórych przypadkach były to oficjalne witryny niewzbudzające żadnych podejrzeń (np. strona "diplomacy.pl", na której atakujący umieścili archiwum ZIP ze szkodliwym programem). W innych przypadkach atakujący wysyłali wiadomości zawierające rzekome filmy, które w rzeczywistości były zainfekowanymi plikami wykonywalnymi.
Do przeprowadzania szkodliwych działań na komputerze ofiary CozyDuke stosuje trojana, który wysyła informacje o systemie do serwera kontrolowanego przez cyberprzestępców. W odpowiedzi trojan otrzymuje polecenia oraz dodatkowe moduły dodające dalszą funkcjonalność wymaganą przez atakujących.
„Monitorujemy kampanie MiniDuke oraz CosmicDuke już od kilku lat – w 2013 r. Kaspersky Lab jako pierwsza firma z branży ostrzegła świat o atakach operacji MiniDuke. Nasze badania wykazały, że CozyDuke jest powiązany z tymi kampaniami, a także z operacją OnionDuke. Wszystkie te kampanie są ciągle aktywne i atakują swoje cele. Ponadto wykryte przez nas ślady pozwalają sądzić, że za narzędziami szpiegowskimi wykorzystywanymi w omawianych atakach stoją osoby posługujące się biegle językiem rosyjskim” – powiedział Kurt Baumgartner, główny badacz ds. bezpieczeństwa, Globalny Zespół ds. Badań i Analiz, Kaspersky Lab.
Produkty Kaspersky Lab chronią przed wszystkimi wykrytymi szkodliwymi programami wykorzystywanymi w ramach kampanii cyberszpiegowskiej CozyDuke.
Porady bezpieczeństwa dla użytkowników
- Nie otwieraj załączników z wiadomości pochodzących od nadawców, których nie znasz.
- Regularnie skanuj swój komputer skutecznym i aktualnym rozwiązaniem antywirusowym.
- Uważaj na archiwa ZIP, w których znajdują się pliki SFX.
- Jeżeli nie masz pewności co do załącznika wiadomości, nie otwieraj go lub skontaktuj się z nadawcą.
- Upewnij się, że korzystasz z nowoczesnego systemu operacyjnego z zainstalowanymi wszystkimi uaktualnieniami.
- Dbaj o szybkie instalowanie uaktualnień dla wszystkich aplikacji, z których korzystasz, takich jak Microsoft Office, Java, Adobe Flash Player czy Adobe Reader.
Więcej informacji technicznych na temat operacji „CozyDuke” znajduje się w języku angielskim na stronie http://securelist.com/blog/69731/the-cozyduke-apt.
Informację można wykorzystać dowolnie z zastrzeżeniem podania firmy Kaspersky Lab jako źródła.
Wszystkie informacje prasowe Kaspersky Lab Polska są dostępne na stronie http://www.kaspersky.pl/news.