Pratite nas preko RSS-aEkonomska špijunaža: Misteriozni malver ''Divlji Neutron'' se ponovo vratio, sada ima nove trikove i nove žrtve
Vesti, 10.07.2015, 00:30 AM
Hakerska grupa koju je kompanija Kaspersky Lab identifikovala kao „Divlji Neutron” (a koja je poznata i kao „Jripbot” i „Morpho”) napala je 2013. godine nekoliko kompanija visokog profila među kojima su Apple, Facebook, Twitter i Microsoft. Nakon velikog publiciteta koji je izazvao ovaj incident, malver nije bio aktivan skoro godinu dana. Krajem 2013. i početkom 2014. godine, napadi su ponovo postali aktuelni i nastavili su se čak i u 2015. godini. Ova pretnja koristi ukradeni sertifikat za verifikaciju šifara i nepoznatu ranjivost Flash Playera kako bi inficirala kompanije i pojedinačne korisnike širom sveta i ukrala od njih poverljive poslovne informacije.
Istraživači iz kompanije Kaspersky Lab su uspeli da identifikuju mete napada ove pretnje u 11 zemalja uključujući i Francusku, Rusiju, Švajcarsku, Nemačku, Austriju, Palestinu, Sloveniju, Kazahstan, Ujedinjene Arapske Emirate, Alžir i Sjedinjene Američke Države. Među metama su bile advokatske kancelarije, kompanije koje posluju sa bitcoinima, organizacije koje se bave investicijama, IT kompanije, zdravstvene ustanove, kompanije za nekretnine, grupe velikih kompanija koje su često uključene u poslove spajanja i akvizicija, kao i pojedinačni korisnici.
Osnovni fokus ovih napada ukazuje na to ih nije finansirala nijedna država. Međutim, korišćenje malvera nultog dana za više platformi kao i druge tehnike koje su identifikovali stručnjaci u kompaniji Kaspersky Lab ukazuje na to da je u proces špijunaže uključena neka jaka strana, i da su motivi verovatno ekonomske prirode.
Vektor prvobitne infekcije nedavnih napada je i dalje nepoznat, ali postoje jasne indicije da su žrtve napdnute pomoću alata koji koriste nepoznatu ranjivost Flash Playera preko kompromitovanih web sajtova. Na ovaj način se na računar žrtve prenosi paket sa malverom.
U napadima koje su posmatrali istraživači iz kompanije Kaspersky Lab, „dropper“ program je bio potpisan legitimnim sertifikatom za verifikaciju šifara. Korišćenje sertifikata omogućava da se izbegne detekcija određenih programa za zaštitu. Sertifikat koji je korišćen u napadima grupe Divlji Neutron je ukraden od jednog poznatog proizvođača električnih uređaja. Ovaj sertifikat je sada ukinut.
Nakon što je dospeo u sistem, „dropper“ na računar instalira glavni backdoor program.
Kada je u pitanju funkcionalnost, glavni backdoor program se ne razlikuje od mnogih drugih alata za daljinski pristup (RAT). Ono što se zapravo ističe jeste želja napadača da sakrije adresu komandnog i kontrolnog servera (C&C) i njegova sposobnost da se oporavi nakon obaranja. Komandni i kontrolni server je bitan deo maliciozne infrastrukture pošto se koristi kao „baza“ za malver koji se nalazi na računarima žrtava. Specijalne mere koje su ugrađene u malver pomažu napadačima da zaštite infrastrukturu od mogućih pokušaja obaranja komandnog i kontrolnog servera.
Poreklo ovih napadača je i dalje misterija. U nekim situacija, kodirana konfiguracija je sadržala niz znakova koji predstavljaju izraz „La revedere” („Doviđenja” na rumunskom) kako bi označila kraj C&C komunikacije. Pored toga, istraživači iz kompanije Kaspersky Lab su otkrili još jedan strani niz znakova koji predstavlja latinsku transkripciju ruske reči „Успешно” („uspeshno" -> „uspešno").
„Divlji Neutron je vešta i prilagodljiva hakerska grupa. Ona je aktivna još od 2011. godine i koristila je makar jednu ranjivost nultog dana, posebno napravljen malver i alate za Windows i OS X. Iako je u prošlosti napadala neke od najpoznatijih svetskih kompanija, uspela je da ostane relativno neprimetna pomoću dobre operativne bezbednosti koja je do sada uglavnom onemogućavala da se grupa poveže sa konkretnim napadima. Činjenica da je ova grupa napadala najveće IT kompanije, proizvođače spyware programa (FlexiSPY), džihadističke forume („Ansar Al-Mujahideen English Forum”) i Bitcoin kompanije ukazuje na to da je ona jako fleksibilna i da ima neobičan mentalitet i interesovanja”, izjavio je Kostin Raju, direktor globalnog tima za istraživanje i razvoj u kompaniji Kaspersky Lab.
Proizvodi kompanije Kaspersky Lab uspešno detektuju i blokiraju malver koji koristi hakerska grupa Divlji Neutron sa imenima Trojan.Win32.WildNeutron.gen, Trojan.Win32.WildNeutron.*, Trojan.Win32.JripBot.*, Trojan.Win32.Generic.
Više o svemu ovome možete saznati na blogu Kaspersky Laba, Securelist.com.
Izdvojeno
Policija ponovo zatvorila zloglasni hakerski sajt BreachForums
Policija je po drugi put za godinu dana preuzela kontolu nad zloglasnom platformom BreachForums, koja je poznata pre svega po prodaji ukradenih podata... Dalje
Zbog mogućih prevara Apple uklonio stotine hiljada naloga programera i korisničkih naloga iz AppStorea
Apple je objavio da je u periodu između 2020. i 2023. godine blokirao ukupno 7 milijardi dolara potencijalno lažnih transakcija, kao i lažne recenz... Dalje
Android i iOS će vas upozoravati na Bluetooth uređaje za praćenje
Apple i Google uvode nove funkcije koje će upozoravati korisnike iOS-a i Androida na Bluetooth uređaje za praćenje. „Ovo će pomoći da se ... Dalje
Hakovan Europol, napadači prodaju podatke ukradene tokom napada
Poznata hakerska grupa prodaje nešto za šta tvrde da su veoma osetljivi interni podaci koji su ukradeni početkom ovog meseca od Europola. Grupa &bd... Dalje
Dell objavio da su hakeri ukrali podatke 49 miliona kupaca
Dell je upozorio da su hakeri ukrali informacije o oko 49 miliona kupaca. Kompanija je na email adrese kupaca počela da šalje obaveštenja o komprom... Dalje
Pratite nas
Nagrade
Prijatelji
