Malver korišćen u napadima na Belu kuću i Stejt Department povezan sa Rusijom

Vesti, 24.04.2015, 01:00 AM

Malver korišćen u napadima na Belu kuću i Stejt Department povezan sa Rusijom

Uvreženo je mišljenje da iza napada na kompjuterske sisteme američkog Stejt Departmenta i Bele kuće stoje ruski hakeri. Hakeri koji su prošle godine napali Belu kuću i Stejt Department koristili su malver koji veoma liči na alate za sajber špijunažu za koje se smatra da su ruskog porekla. Stručnjaci Kaspersky Laba sada su objavili detaljan izveštaj o malveru koji je korišćen u ovim napadima.

Isti napadači odgovorni su i za napade na državne institucije i kompanije u Nemačkoj, Južnoj Koreji i Uzbekistanu.

Stručnjaci Kaspersky Laba nazvali ovu špijunsku grupu CozyDuke. Maliciozni programi koje ova grupa koristi uključuje droppere, programe za krađu podataka i backdoorove.

Malver koji je korišćen u ovim napadima nazvan je CozyDuke, a poznat je i pod nazivima CozyBear, CozyCar i “Office Monkeys”.

Pored veoma preciznog odabira žrtava najvišeg profila, ovu pretnju odlikuju i kriptografski kapaciteti, ali i sposobnost da izbegne detekciju antivirusa. Maliciozni kod detektuje prisustvo određenih sigurnosnih programa kako bi ih izbegao, a među njima su proizvodi kompanija Kaspersky Lab, Sophos, DrWeb, Avira, Crystal i Comodo Dragon.

Pored toga, CozyDuke je u pogledu funkcionalnosti i strukture sličan komponentama pretnji kao što su MiniDuke, CosmicDuke i OnionDuke. Ove tri pretnje korišćene su u napadima na članice NATO i evropske vlade tokom poslednje dve godine i veruje se da su one povezane.

Stručnjaci iz drugih kompanija koji su ranije analizirali MiniDuke, CosmicDuke i OnionDuke iznosili su stav da su ove pretnje delo ruske vlade.

U januaru ove godine, istraživači iz kompanije F-Secure objavili su da nijedan od ciljeva CosmicDuke ili OnionDuke nije bio iz Rusije. Jedine žrtve koje su detektovane u Rusiji bile su povezane sa trgovinom narkoticima, što ukazuje da ove špijunske alate možda koristi ruska policija u istragama.

CozyDuke napadači često napadaju ciljeve spear-phishing emailovima koji sadrže link za hakovani web sajt. Ponekad je u pitanju legitimni sajt, kao na primer diplomacy.pl, na kome se nalazi ZIP fajl. ZIP fajl sadrži RAR SFX koji instalira malver i prikazuje prazni PDF dokument koji je mamac.

U drugim slučajevima, napadači su slali flash videa kao email atačmente. Dobar primer je video nazvan “Office Monkeys LOL Video.zip”. Izvršni fajl u njemu ne samo da pokreće video, već pokreće još jedan CozyDuke izvršni fajl. Ovi video klipovi kruže po kancelarijama krišom inficirajući sisteme.

Kao MiniDuke i OnionDuke, i CozyDuke najpre isporučuje dropper koji koristi tehnike za izbegavanje detekcije antivirusa na napadnutim sistemima. Dropper na kraju preuzima dodatne maliciozne fajlove često potpisane lažnim Intel i AMD digitalnim sertifikatima.

Najnovije aktivnosti ove APT (advanced persistent threat) grupe privukle su veliku pažnju medija, jer su napadnuti kompjuterski sistemi Stejt Departmenta i Bele kuće.

CozyDuke prikuplja informacije o sistemu i šalje ih serveru koji kontrolišu napadači.

Drugi moduli se zatim preuzimaju sa servera i izvršavaju, uključujući i backdoor, kao i modul koji krade podatke i pravi snimke desktopa.

Jedan od modula CozyDuke iz druge faze, Show.dll, je posebno zanimljiv zato što je po svemu sudeći sagrađen na istoj platformi kao i OnionDuke. “Ovo ukazuje da su autori OnionDuke i CozyDuke/Cozy Bear isti ljudi, ili da zajedno rade", kažu iz Kaspersky Laba.

„Posmatrali smo i MiniDuke i CosmicDuke već nekoliko godina. Kaspersky Lab je bio prvi koji je upozoravao o MiniDuke napadima 2013. godine, pri čemu „najstariji” zabeleženi primeri ove sajber pretnje datiraju još od 2008. godine. CozyDuke je definitivno povezan sa ove dve kampanje, kao i sa operacijom sajber špijunaže OnionDuke. Svaki od ovih malvera nastavlja da prati svoje mete, i mi verujemo da su svi ovi alati za špijunažu kreirani i da njima rukovode osobe sa ruskog govornog područja,” - kaže Kurt Baumgartner, glavni istraživač za bezbednost globalnog tima za istraživanje i analizu kompanije Kaspersky Lab.

Stručnjaci Kaspersky Laba savetuju korisnicima da:

  • Ne otvaraju priloge i linkove od osoba koje ne poznaju

  • Redovno skeniraju računar pomoću programa za zaštitu od malvera

  • Vode računa o ZIP arhivama i SFX fajlovima koji se nalaze unutra

  • Ako nisu sigurni u neki prilog, pokušaju da ga otvore unutar sandboxa

  • Provere da li imaju instaliran novi operativni sistem sa svim dodatnim drajverima i programima

  • Ažuriraju sve third-party aplikacije kao što su Microsoft Office, Java, Adobe Flash Player i Adobe Reader

Više detalja o ovome možete naći na blogu kompanije Kaspersky Lab, Securelist.com.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Od početka godine ransomware grupa Akira napala 250 organizacija od kojih je pokušala da naplati 42 miliona dolara

Od početka godine ransomware grupa Akira napala 250 organizacija od kojih je pokušala da naplati 42 miliona dolara

Da posao sa ransomwareom cveta pokazuju i podaci o ransomware grupi Akira koja je za manje od godinu dana rada iznudila milione od na stotine pogođen... Dalje

Microsoft je i dalje brend koji se najviše zloupotrebljava u phishing napadima

Microsoft je i dalje brend koji se najviše zloupotrebljava u phishing napadima

Prema podacima kompanije Check Point, Microsoft je brend koji se najviše zloupotrebljavao, u čak 38% svih phishing napada u prvom kvartalu 2024. Ovo... Dalje

Farmakokriminal na internetu: Facebook, X i Instagram preplavljeni oglasima za kopije poznatih lekova

Farmakokriminal na internetu: Facebook, X i Instagram preplavljeni oglasima za kopije poznatih lekova

Hiljade lažnih onlajn apoteka koje prodaju kopije lekova širom sveta, uključujući i kopije popularnog Ozempica, leka za lečenje dijabetesa tipa ... Dalje

Rusija i Ukrajina na vrhu prvog svetskog indeksa sajber kriminala

Rusija i Ukrajina na vrhu prvog svetskog indeksa sajber kriminala

Časopis PLOS ONE objavio je 10. aprila naučni rad pod nazivom „Mapiranje globalne geografije sajber kriminala sa svetskim indeksom sajber krim... Dalje

Prevare sa lažnim glasovnim porukama u porastu: LastPass objavio detalje o jednom takvom napadu na kompaniju

Prevare sa lažnim glasovnim porukama u porastu: LastPass objavio detalje o jednom takvom napadu na kompaniju

LastPass je objavio da su prevaranti pokušali da prevare jednog od zaposlenih u kompaniji koristeći lažnu glasovnu poruku izvršnog direktora Last... Dalje