Kaspersky Lab wykrywa nowe cyberzagrożenie CozyDuke związane z niesławną kampanią MiniDuke


2015-04-23
Globalny Zespół ds. Badań i Analiz (GReAT) z Kaspersky Lab opublikował raport poświęcony nowej zaawansowanej kampanii cyberszpiegowskiej wykorzystującej szkodliwe oprogramowanie do atakowania szczegółowo wybranych celów najwyższego szczebla.

Ofiary – zlokalizowane głównie na terenie Stanów Zjednoczonych – mogą obejmować Biały Dom oraz Departament Stanu, a na liście celów atakujących znalazły się także organizacje rządowe i firmy z Niemiec, Korei Południowej i Uzbekistanu.

 

Poza faktem atakowania celów najwyższego szczebla nowa operacja cyberprzestępcza wyróżnia się także innymi alarmującymi cechami - zastosowaniem zaawansowanych możliwości szyfrowania i zapobiegania wykryciu poprzez „walkę” z oprogramowaniem antywirusowym.

 

Powiązania z innymi kampaniami cyberprzestępczymi

 

Eksperci z Kaspersky Lab wykryli w omawianej operacji rozbudowany zakres szkodliwej funkcjonalności oraz podobieństwa do wcześniejszych kampanii cyberszpiegowskich: MiniDuke, CosmicDuke i OnionDuke, za którymi prawdopodobnie stoją atakujący posługujący się językiem rosyjskim. Badania Kaspersky Lab potwierdzają, że operacje MiniDuke oraz CosmicDuke są w dalszym ciągu aktywne, a na ich celowniku znajdują się organizacje dyplomatyczne, ambasady, firmy z branży energetycznej, naftowej, gazowej, telekomunikacyjnej i wojskowej, a także jednostki badawcze i naukowe w wielu krajach.

 

Metody dystrybucji

 

Szkodliwe programy wykorzystywane w ramach kampanii CozyDuke atakują swoje ofiary przede wszystkim poprzez spersonalizowane phishingowe wiadomości e-mail z odnośnikiem do zhakowanej strony WWW - w niektórych przypadkach były to oficjalne witryny niewzbudzające żadnych podejrzeń (np. strona "diplomacy.pl", na której atakujący umieścili archiwum ZIP ze szkodliwym programem). W innych przypadkach atakujący wysyłali wiadomości zawierające rzekome filmy, które w rzeczywistości były zainfekowanymi plikami wykonywalnymi.

 

Do przeprowadzania szkodliwych działań na komputerze ofiary CozyDuke stosuje trojana, który wysyła informacje o systemie do serwera kontrolowanego przez cyberprzestępców. W odpowiedzi trojan otrzymuje polecenia oraz dodatkowe moduły dodające dalszą funkcjonalność wymaganą przez atakujących.

 

„Monitorujemy kampanie MiniDuke oraz CosmicDuke już od kilku lat – w 2013 r. Kaspersky Lab jako pierwsza firma z branży ostrzegła świat o atakach operacji MiniDuke. Nasze badania wykazały, że CozyDuke jest powiązany z tymi kampaniami, a także z operacją OnionDuke. Wszystkie te kampanie są ciągle aktywne i atakują swoje cele. Ponadto wykryte przez nas ślady pozwalają sądzić, że za narzędziami szpiegowskimi wykorzystywanymi w omawianych atakach stoją osoby posługujące się biegle językiem rosyjskim” – powiedział Kurt Baumgartner, główny badacz ds. bezpieczeństwa, Globalny Zespół ds. Badań i Analiz, Kaspersky Lab.

 

Produkty Kaspersky Lab chronią przed wszystkimi wykrytymi szkodliwymi programami wykorzystywanymi w ramach kampanii cyberszpiegowskiej CozyDuke.

 

Porady bezpieczeństwa dla użytkowników

 

- Nie otwieraj załączników z wiadomości pochodzących od nadawców, których nie znasz.

- Regularnie skanuj swój komputer skutecznym i aktualnym rozwiązaniem antywirusowym.

- Uważaj na archiwa ZIP, w których znajdują się pliki SFX.

- Jeżeli nie masz pewności co do załącznika wiadomości, nie otwieraj go lub skontaktuj się z nadawcą.

- Upewnij się, że korzystasz z nowoczesnego systemu operacyjnego z zainstalowanymi wszystkimi uaktualnieniami.

- Dbaj o szybkie instalowanie uaktualnień dla wszystkich aplikacji, z których korzystasz, takich jak Microsoft Office, Java, Adobe Flash Player czy Adobe Reader.

 

Więcej informacji technicznych na temat operacji „CozyDuke” znajduje się w języku angielskim na stronie http://securelist.com/blog/69731/the-cozyduke-apt.

 

Informację można wykorzystać dowolnie z zastrzeżeniem podania firmy Kaspersky Lab jako źródła.

 

Wszystkie informacje prasowe Kaspersky Lab Polska są dostępne na stronie http://www.kaspersky.pl/news.

Nadesłał:

Kaspersky Lab Polska Sp. z o.o.
http://kaspersky.pl

Wasze komentarze (0):


Twój podpis:
System komentarzy dostarcza serwis eGadki.pl