Η Παγκόσμια Ομάδα Έρευνας και Ανάλυσης της Kaspersky Lab δημοσίευσε έρευνα στην οποία περιγράφεται μια νέα, προηγμένη εκστρατεία ψηφιακής κατασκοπείας, η οποία χρησιμοποιεί κακόβουλο λογισμικό με στόχο πολύ συγκεκριμένους και υψηλόβαθμους φορείς. Οι στόχοι στις ΗΠΑ πιστεύεται ότι περιλαμβάνουν τον Λευκό Οίκο και το Στέιτ Ντιπάρτμεντ, ενώ ο κατάλογος των επιτιθέμενων περιλαμβάνει επίσης κυβερνητικούς οργανισμούς και νομικά πρόσωπα/εμπορικές οντότητες στη Γερμανία, τη Νότια Κορέα και το Ουζμπεκιστάν.
Παράλληλα με την πολύ ακριβή στόχευση υψηλόβαθμων θυμάτων, ο απειλητικός φορέας παρουσιάζει κι άλλα πιο ανησυχητικά χαρακτηριστικά. Σε αυτά περιλαμβάνονται δυνατότητες κρυπτογράφησης και αποφυγής εντοπισμού. Για παράδειγμα, ο κώδικας «ψάχνει» την παρουσία προϊόντων ασφάλειας (από διάφορους παρόχους), προκειμένου να προσπαθήσει να τα αποφύγει. Οι εταιρείες τα προϊόντα των οποίων προσπαθεί να αποφύγει είναι η Kaspersky Lab, η Sophos, η DrWeb, η Avira, η Crystal και η ComodoDragon.
Σύνδεση με άλλους φορείς ψηφιακής κατασκοπείας
Οι ειδικοί της Kaspersky Lab αποκάλυψαν την ισχυρή λειτουργικότητα του κακόβουλου προγράμματος, καθώς και δομικές ομοιότητες που ταίριαζαν με το «πακέτο» εργαλείων που χρησιμοποιούταν στις εκστρατείες ψηφιακής κατασκοπείας MiniDuke, CosmicDuke και OnionDuke. Σύμφωνα με μια σειρά δεικτών, πιστεύεται ότι η διαχείριση των σχετικών επιχειρήσεων γίνεται από Ρωσόφωνους δημιουργούς. Οι παρατηρήσεις της Kaspersky Lab δείχνουν ότι οι φορείς MiniDuke και CosmicDuke είναι ακόμα ενεργοί και στρέφονται ενάντια σε διπλωματικούς οργανισμούς/πρεσβείες, εταιρείες ενέργειας και υδρογονανθράκων, παρόχους τηλεπικοινωνιών, στρατιωτικούς οργανισμούς, ακαδημαϊκά και ερευνητικά ιδρύματα σε διάφορες χώρες.
Μέθοδος διανομής
Ο φορέας CozyDuke επιτίθεται συχνά στους στόχους του μέσω spearphishing email, τα οποία περιέχουν ένα σύνδεσμο που οδηγεί σε μια παραβιασμένη ιστοσελίδα (μερικές φορές σε υψηλού προφίλ, νόμιμες όπως το diplomacy.pl),οι οποίες φιλοξενούν ένα αρχείο ZIP που περιέχει κακόβουλο λογισμικό. Σε άλλες εξαιρετικά επιτυχημένες επιχειρήσεις, ο φορέας αυτός στέλνει ένα πλαστό flash βίντεο με κακόβουλα εκτελέσιμα αρχεία, που περιλαμβάνονται ως συνημμένα σε email.
Το λογισμικό CozyDuke χρησιμοποιεί ένα backdoor και ένα dropper. Το κακόβουλο πρόγραμμα στέλνει πληροφορίες σχετικά με το στόχο στον Command & Control Server. Επίσης, ανακτά τα αρχεία ρυθμίσεων και επιπρόσθετες μονάδες που εκτελούν οποιαδήποτε πρόσθετη λειτουργικότητα χρειάζονται οι επιτιθέμενοι.
Σύμφωνα με τον Kurt Baumgartner, Principal Security Researcher της Παγκόσμιας Ομάδας Έρευνας και Ανάλυσης της Kaspersky Lab,
"Παρακολουθούμε το MiniDuke και το CosmicDuke εδώ και δύο χρόνια. Η Kaspersky Lab ήταν η πρώτη εταιρεία που προειδοποίησε σχετικά με τις επιθέσεις του MiniDuke το 2013, με τα «παλαιότερα» γνωστά δείγματα αυτής της ψηφιακής απειλής να χρονολογούνται από το 2008. Το CozyDuke σίγουρα συνδέεται με αυτές τις δύο εκστρατείες, καθώς και με τη δράση ψηφιακής κατασκοπείας του OnionDuke. Κάθε ένας από αυτούς τους απειλητικούς φορείς συνεχίζει να παρακολουθεί τους στόχους του και πιστεύουμε ότι όλα τα εργαλεία κατασκοπείας τους έχουν δημιουργηθεί από Ρωσόφωνους"
Συμβουλές για τους χρήστες
- Μην ανοίγετε συνημμένα αρχεία και συνδέσμους από αποστολείς που δεν γνωρίζετε
- Να κάνετε σάρωση τακτικά στον υπολογιστή σας με μια προηγμένη anti-malware λύση
- Να δείχνετε προσοχή στα αρχεία ZIP που περιέχουν SFX αρχεία
- Αν δεν είστε βέβαιοι για το συνημμένο αρχείο, δοκιμάστε να το ανοίξετε σε περιβάλλον sandbox
- Βεβαιωθείτε ότι διαθέτετε ένα ενημερωμένο λειτουργικό σύστημα, με όλα τα απαραίτητα patches εγκατεστημένα
- Να ενημερώνετε όλες τις εφαρμογές τρίτων, όπως το Microsoft Office, η Java, το Adobe Flash Player και το Adobe Reader