Πόλεμος μεταξύ ομάδων χάκερ στην Ασία
16.04.2015
12:12
Ψηφιακοί εγκληματίες στρέφονται ο ένας κατά του άλλου, δημιουργώντας μια νέα τάση
Η Kaspersky Lab εντόπισε μια σπάνια και ασυνήθιστη περίπτωση επίθεσης από έναν ψηφιακό εγκληματία σε έναν άλλον. Το 2014, η Hellsing, μία μικρή και μέτρια τεχνικά ομάδα ψηφιακής κατασκοπείας που στόχευε κυρίως κυβερνήσεις και διπλωματικούς οργανισμούς στην Ασία, δέχτηκε επίθεση spearphishing από κάποιον άλλο παράγοντα online απειλών και αποφάσισε να αντεπιτεθεί.
Η Kaspersky Lab πιστεύει ότι αυτό θα μπορούσε να σηματοδοτήσει την εμφάνιση μιας νέας τάσης στην ψηφιακή εγκληματικότητα: τους «APT πολέμους».
Η ανακάλυψη έγινε από τους ειδικούς της Kaspersky Lab, στο πλαίσιο έρευνας σχετικά με την δραστηριότητα της Naikon, μιας ομάδας ψηφιακής κατασκοπείας που δρούσε επίσης στην περιοχή Ασίας - Ειρηνικού. Οι ειδικοί παρατήρησαν ότι ένας από τους στόχους είχε εντοπίσει το γεγονός ότι η ομάδα Naikon προσπάθησε να «μολύνει» τα συστήματα του, μέσω ενός spearphishing email που μετέφερε ένα κακόβουλο συνημμένο αρχείο.
Ο στόχος αμφισβήτησε τη γνησιότητα του email απευθυνόμενος στον αποστολέα και προφανώς δυσαρεστημένος με την απάντηση που έλαβε, δεν άνοιξε το συνημμένο αρχείο. Λίγο αργότερα, ο στόχος διαβίβασε στον αποστολέα ένα email που περιείχε το κακόβουλο λογισμικό του ίδιου του στόχου. Αυτή η κίνηση πυροδότησε την έρευνα της Kaspersky Lab και οδήγησε στην ανακάλυψη της ΑΡΤ (Advanced Persistent Threat) ομάδας Hellsing.
Η Kaspersky Lab πιστεύει ότι αυτό θα μπορούσε να σηματοδοτήσει την εμφάνιση μιας νέας τάσης στην ψηφιακή εγκληματικότητα: τους «APT πολέμους».
Η ανακάλυψη έγινε από τους ειδικούς της Kaspersky Lab, στο πλαίσιο έρευνας σχετικά με την δραστηριότητα της Naikon, μιας ομάδας ψηφιακής κατασκοπείας που δρούσε επίσης στην περιοχή Ασίας - Ειρηνικού. Οι ειδικοί παρατήρησαν ότι ένας από τους στόχους είχε εντοπίσει το γεγονός ότι η ομάδα Naikon προσπάθησε να «μολύνει» τα συστήματα του, μέσω ενός spearphishing email που μετέφερε ένα κακόβουλο συνημμένο αρχείο.
Ο στόχος αμφισβήτησε τη γνησιότητα του email απευθυνόμενος στον αποστολέα και προφανώς δυσαρεστημένος με την απάντηση που έλαβε, δεν άνοιξε το συνημμένο αρχείο. Λίγο αργότερα, ο στόχος διαβίβασε στον αποστολέα ένα email που περιείχε το κακόβουλο λογισμικό του ίδιου του στόχου. Αυτή η κίνηση πυροδότησε την έρευνα της Kaspersky Lab και οδήγησε στην ανακάλυψη της ΑΡΤ (Advanced Persistent Threat) ομάδας Hellsing.
Η μέθοδος της αντεπίθεσης δείχνει ότι η ομάδα Hellsing ήθελε να αναγνωρίσει την ομάδα Naikon και να συλλέξει πληροφορίες γι’ αυτή.
Προχωρώντας σε βαθύτερη ανάλυση του φορέα Hellsing, η Kaspersky Lab ανακάλυψε μια σειρά μηνυμάτων spearphishing με κακόβουλα συνημμένα αρχεία, τα οποία είχαν σχεδιαστεί για να διαδώσουν κακόβουλο λογισμικό κατασκοπείας σε διάφορους οργανισμούς. Αν το θύμα ανοίξει το κακόβουλο συνημμένο αρχείο, το σύστημά του μολύνεται με ένα προσαρμοσμένο backdoor, το οποίο μπορεί να κατεβάζει και να ανεβάζει αρχεία, να ενημερώνεται και να απεγκαθίσταται μόνο του. Σύμφωνα με τις παρατηρήσεις της Kaspersky Lab, ο αριθμός των οργανισμών που αποτέλεσαν στόχο της Hellsing πλησίασε τους 20.
Η Kaspersky Lab έχει εντοπίσει και εμποδίσει κακόβουλο λογισμικό της Hellsing στη Μαλαισία, τις Φιλιππίνες, την Ινδία, την Ινδονησία και τις ΗΠΑ, με τα περισσότερα θύματα να βρίσκονται στη Μαλαισία και τις Φιλιππίνες. Οι επιτιθέμενοι είναι επίσης πολύ επιλεκτικοί σε σχέση με το είδος των οργανισμών που στοχεύουν, επιδιώκοντας να «μολύνουν» κυρίως κυβερνητικούς και διπλωματικούς στόχους.
«Το γεγονός ότι η ομάδα Hellsing έβαλε στο στόχαστρο την ομάδα Naikon, μπορεί να χαρακτηριστεί ως ένα είδος εκδικητικού κυνηγιού βρικολάκων. Αυτό από μόνο του κάνει την επίθεση συναρπαστική για τους ερευνητές. Στο παρελθόν, είχαμε δει κάποιες APT ομάδες να επιτίθενται κατά λάθος η μία στην άλλη, κλέβοντας παράλληλα ατζέντες διευθύνσεων από τα θύματα και στη συνέχεια να αποστέλλουν μαζική αλληλογραφία σε όλους όσους βρίσκονται καταχωρημένοι στις λίστες αυτές. Ωστόσο, λαμβάνοντας υπόψη τη στόχευση και την προέλευση της επίθεσης, φαίνεται πιο πιθανό ότι αυτό είναι ένα παράδειγμα σκόπιμης επίθεσης από μια ΑΡΤ ομάδα σε μια άλλη», δήλωσε ο Costin Raiu, διευθυντής της ομάδας έρευνας και ανάλυσης της Kaspersky Lab.
Σύμφωνα με την ανάλυση της Kaspersky Lab, ο φορέας απειλής Hellsing είναι – και παραμένει - ενεργός τουλάχιστον από το 2012.
Για την προστασία απέναντι στις επιθέσεις της ομάδας Hellsing, η Kaspersky Lab προτείνει τις παρακάτω βασικές βέλτιστες πρακτικές ασφάλειας:
-Μην ανοίγετε ύποπτα συνημμένα αρχεία από αποστολείς που δεν γνωρίζετε.
-Δείξτε προσοχή σε αρχεία που προστατεύονται με κωδικό πρόσβασης και περιέχουν αρχεία SCR ή άλλα εκτελέσιμα αρχεία.
-Αν δεν είστε βέβαιοι για το συνημμένο αρχείο, δοκιμάστε να το ανοίξετε σε περιβάλλον sandbox.
-Βεβαιωθείτε ότι διαθέτετε ένα ενημερωμένο λειτουργικό σύστημα, με όλα τα απαραίτητα patches εγκατεστημένα.
-Να ενημερώνετε όλες τις εφαρμογές τρίτων, όπως το Microsoft Office, η Java, το Adobe Flash Player και το Adobe Reader.
Προχωρώντας σε βαθύτερη ανάλυση του φορέα Hellsing, η Kaspersky Lab ανακάλυψε μια σειρά μηνυμάτων spearphishing με κακόβουλα συνημμένα αρχεία, τα οποία είχαν σχεδιαστεί για να διαδώσουν κακόβουλο λογισμικό κατασκοπείας σε διάφορους οργανισμούς. Αν το θύμα ανοίξει το κακόβουλο συνημμένο αρχείο, το σύστημά του μολύνεται με ένα προσαρμοσμένο backdoor, το οποίο μπορεί να κατεβάζει και να ανεβάζει αρχεία, να ενημερώνεται και να απεγκαθίσταται μόνο του. Σύμφωνα με τις παρατηρήσεις της Kaspersky Lab, ο αριθμός των οργανισμών που αποτέλεσαν στόχο της Hellsing πλησίασε τους 20.
Η Kaspersky Lab έχει εντοπίσει και εμποδίσει κακόβουλο λογισμικό της Hellsing στη Μαλαισία, τις Φιλιππίνες, την Ινδία, την Ινδονησία και τις ΗΠΑ, με τα περισσότερα θύματα να βρίσκονται στη Μαλαισία και τις Φιλιππίνες. Οι επιτιθέμενοι είναι επίσης πολύ επιλεκτικοί σε σχέση με το είδος των οργανισμών που στοχεύουν, επιδιώκοντας να «μολύνουν» κυρίως κυβερνητικούς και διπλωματικούς στόχους.
«Το γεγονός ότι η ομάδα Hellsing έβαλε στο στόχαστρο την ομάδα Naikon, μπορεί να χαρακτηριστεί ως ένα είδος εκδικητικού κυνηγιού βρικολάκων. Αυτό από μόνο του κάνει την επίθεση συναρπαστική για τους ερευνητές. Στο παρελθόν, είχαμε δει κάποιες APT ομάδες να επιτίθενται κατά λάθος η μία στην άλλη, κλέβοντας παράλληλα ατζέντες διευθύνσεων από τα θύματα και στη συνέχεια να αποστέλλουν μαζική αλληλογραφία σε όλους όσους βρίσκονται καταχωρημένοι στις λίστες αυτές. Ωστόσο, λαμβάνοντας υπόψη τη στόχευση και την προέλευση της επίθεσης, φαίνεται πιο πιθανό ότι αυτό είναι ένα παράδειγμα σκόπιμης επίθεσης από μια ΑΡΤ ομάδα σε μια άλλη», δήλωσε ο Costin Raiu, διευθυντής της ομάδας έρευνας και ανάλυσης της Kaspersky Lab.
Σύμφωνα με την ανάλυση της Kaspersky Lab, ο φορέας απειλής Hellsing είναι – και παραμένει - ενεργός τουλάχιστον από το 2012.
Για την προστασία απέναντι στις επιθέσεις της ομάδας Hellsing, η Kaspersky Lab προτείνει τις παρακάτω βασικές βέλτιστες πρακτικές ασφάλειας:
-Μην ανοίγετε ύποπτα συνημμένα αρχεία από αποστολείς που δεν γνωρίζετε.
-Δείξτε προσοχή σε αρχεία που προστατεύονται με κωδικό πρόσβασης και περιέχουν αρχεία SCR ή άλλα εκτελέσιμα αρχεία.
-Αν δεν είστε βέβαιοι για το συνημμένο αρχείο, δοκιμάστε να το ανοίξετε σε περιβάλλον sandbox.
-Βεβαιωθείτε ότι διαθέτετε ένα ενημερωμένο λειτουργικό σύστημα, με όλα τα απαραίτητα patches εγκατεστημένα.
-Να ενημερώνετε όλες τις εφαρμογές τρίτων, όπως το Microsoft Office, η Java, το Adobe Flash Player και το Adobe Reader.
Ακολουθήστε το protothema.gr στο Google News και μάθετε πρώτοι όλες τις ειδήσεις
Δείτε όλες τις τελευταίες Ειδήσεις από την Ελλάδα και τον Κόσμο, τη στιγμή που συμβαίνουν, στο Protothema.gr
Δείτε όλες τις τελευταίες Ειδήσεις από την Ελλάδα και τον Κόσμο, τη στιγμή που συμβαίνουν, στο Protothema.gr