Pratite nas preko RSS-aMalver korišćen u napadima na Belu kuću i Stejt Department povezan sa Rusijom
Vesti, 24.04.2015, 01:00 AM
Uvreženo je mišljenje da iza napada na kompjuterske sisteme američkog Stejt Departmenta i Bele kuće stoje ruski hakeri. Hakeri koji su prošle godine napali Belu kuću i Stejt Department koristili su malver koji veoma liči na alate za sajber špijunažu za koje se smatra da su ruskog porekla. Stručnjaci Kaspersky Laba sada su objavili detaljan izveštaj o malveru koji je korišćen u ovim napadima.
Isti napadači odgovorni su i za napade na državne institucije i kompanije u Nemačkoj, Južnoj Koreji i Uzbekistanu.
Stručnjaci Kaspersky Laba nazvali ovu špijunsku grupu CozyDuke. Maliciozni programi koje ova grupa koristi uključuje droppere, programe za krađu podataka i backdoorove.
Malver koji je korišćen u ovim napadima nazvan je CozyDuke, a poznat je i pod nazivima CozyBear, CozyCar i “Office Monkeys”.
Pored veoma preciznog odabira žrtava najvišeg profila, ovu pretnju odlikuju i kriptografski kapaciteti, ali i sposobnost da izbegne detekciju antivirusa. Maliciozni kod detektuje prisustvo određenih sigurnosnih programa kako bi ih izbegao, a među njima su proizvodi kompanija Kaspersky Lab, Sophos, DrWeb, Avira, Crystal i Comodo Dragon.
Pored toga, CozyDuke je u pogledu funkcionalnosti i strukture sličan komponentama pretnji kao što su MiniDuke, CosmicDuke i OnionDuke. Ove tri pretnje korišćene su u napadima na članice NATO i evropske vlade tokom poslednje dve godine i veruje se da su one povezane.
Stručnjaci iz drugih kompanija koji su ranije analizirali MiniDuke, CosmicDuke i OnionDuke iznosili su stav da su ove pretnje delo ruske vlade.
U januaru ove godine, istraživači iz kompanije F-Secure objavili su da nijedan od ciljeva CosmicDuke ili OnionDuke nije bio iz Rusije. Jedine žrtve koje su detektovane u Rusiji bile su povezane sa trgovinom narkoticima, što ukazuje da ove špijunske alate možda koristi ruska policija u istragama.
CozyDuke napadači često napadaju ciljeve spear-phishing emailovima koji sadrže link za hakovani web sajt. Ponekad je u pitanju legitimni sajt, kao na primer diplomacy.pl, na kome se nalazi ZIP fajl. ZIP fajl sadrži RAR SFX koji instalira malver i prikazuje prazni PDF dokument koji je mamac.
U drugim slučajevima, napadači su slali flash videa kao email atačmente. Dobar primer je video nazvan “Office Monkeys LOL Video.zip”. Izvršni fajl u njemu ne samo da pokreće video, već pokreće još jedan CozyDuke izvršni fajl. Ovi video klipovi kruže po kancelarijama krišom inficirajući sisteme.
Kao MiniDuke i OnionDuke, i CozyDuke najpre isporučuje dropper koji koristi tehnike za izbegavanje detekcije antivirusa na napadnutim sistemima. Dropper na kraju preuzima dodatne maliciozne fajlove često potpisane lažnim Intel i AMD digitalnim sertifikatima.
Najnovije aktivnosti ove APT (advanced persistent threat) grupe privukle su veliku pažnju medija, jer su napadnuti kompjuterski sistemi Stejt Departmenta i Bele kuće.
CozyDuke prikuplja informacije o sistemu i šalje ih serveru koji kontrolišu napadači.
Drugi moduli se zatim preuzimaju sa servera i izvršavaju, uključujući i backdoor, kao i modul koji krade podatke i pravi snimke desktopa.
Jedan od modula CozyDuke iz druge faze, Show.dll, je posebno zanimljiv zato što je po svemu sudeći sagrađen na istoj platformi kao i OnionDuke. “Ovo ukazuje da su autori OnionDuke i CozyDuke/Cozy Bear isti ljudi, ili da zajedno rade", kažu iz Kaspersky Laba.
„Posmatrali smo i MiniDuke i CosmicDuke već nekoliko godina. Kaspersky Lab je bio prvi koji je upozoravao o MiniDuke napadima 2013. godine, pri čemu „najstariji” zabeleženi primeri ove sajber pretnje datiraju još od 2008. godine. CozyDuke je definitivno povezan sa ove dve kampanje, kao i sa operacijom sajber špijunaže OnionDuke. Svaki od ovih malvera nastavlja da prati svoje mete, i mi verujemo da su svi ovi alati za špijunažu kreirani i da njima rukovode osobe sa ruskog govornog područja,” - kaže Kurt Baumgartner, glavni istraživač za bezbednost globalnog tima za istraživanje i analizu kompanije Kaspersky Lab.
Stručnjaci Kaspersky Laba savetuju korisnicima da:
-
Ne otvaraju priloge i linkove od osoba koje ne poznaju
-
Redovno skeniraju računar pomoću programa za zaštitu od malvera
-
Vode računa o ZIP arhivama i SFX fajlovima koji se nalaze unutra
-
Ako nisu sigurni u neki prilog, pokušaju da ga otvore unutar sandboxa
-
Provere da li imaju instaliran novi operativni sistem sa svim dodatnim drajverima i programima
-
Ažuriraju sve third-party aplikacije kao što su Microsoft Office, Java, Adobe Flash Player i Adobe Reader
Više detalja o ovome možete naći na blogu kompanije Kaspersky Lab, Securelist.com.
Izdvojeno
Tužba protiv Mete: da li su WhatsApp poruke zaista nedostupne kompaniji?
Više tužilaca iz različitih delova sveta podnelo je tužbu protiv kompanije Meta pred saveznim sudom u Sjedinjenim Državama, tvrdeći da kompanija... Dalje
Lažni Google oglasi za „Mac cleaner“ šire malver
Istraživači iz kompanije MacKeeper upozorili su na Google oglase koji promovišu lažne „Mac cleaner“ alate i navode korisnike da sami p... Dalje
WhatsApp uvodi Strict Account Settings za jaču zaštitu naloga
Meta je na WhatsApp-u uvela novu bezbednosnu opciju pod nazivom Strict Account Settings, namenjenu dodatnoj zaštiti korisnika od sajber napada. Prema... Dalje
Google upozorava: hakeri i dalje koriste zakrpljenu ranjivost u WinRAR-u za širenje malvera
Google Threat Intelligence Group (GTIG) je upozorio da državni hakeri i kriminalne grupe zloupotrebljavaju grešku u popularnom WinRAR-u, poznatu kao... Dalje
Otkriveno 16 lažnih ChatGPT ekstenzija za Chrome i Edge
Istraživači iz kompanije LayerX Security otkrili su kampanju u kojoj se najmanje 16 zlonamernih ekstenzija za Chrome i Edge lažno predstavljaju kao... Dalje
Pratite nas
Nagrade
Prijatelji
