Duke revine: „CozyDuke”, o noua campanie de spionaj cibernetic

Echipa Global Research and Analysis Team din cadrul Kaspersky Lab a publicat un raport cu informatii despre o noua campanie de spionaj cibernetic care utilizeaza malware pentru atacuri impotriva unor entitati la nivel inalt, printre care se numara si Casa Alba si Departamentul de Stat al SUA. Lista tintelor include, de asemenea, mai multe organizatii guvernamentale si comerciale din Germania, Coreea de Sud si Uzbekistan.

Pentru efectuarea acestor atacuri foarte precise impotriva unor tinte la nivel inalt, atacatorii utilizeaza instrumente aditionale complexe de criptare si anti-detectie. Astfel, programul malware utilizat cauta automat anumite solutii de securitate instalate pe dispozitivele vizate, cu scopul de a le evita. Printre acestea se numara solutiile de securitate Kaspersky Lab, Sophos, DrWeb, Avira, Crystal si Comodo Dragon.

Legaturi cu alte atacuri de spionaj

Expertii Kaspersky Lab au descoperit functii ale programului malware si structuri similare cu cele utilizate in cadrul campaniilor de spionaj MiniDuke, CosmicDuke si OnionDuke; operatiuni care, conform mai multor indicatori, au fost administrate de vorbitori de limba rusa. Informatiile descoperite de expertii Kaspersky Lab arata ca operatiunile MiniDuke si CosmicDuke sunt in continuare active si tintesc organizatii diplomatice, ambasade, companii din industria energetica, petroliera si a gazelor, telecom, din sectorul militar si institutii academice si de cercetare din mai multe tari.

Metoda de distributie

Tintele vizate de CozyDuke sunt atacate prin intermediul unor mesaje e-mail de tip spearphishing, care contin link-uri catre un website infectat – un site legitim foarte important, de tipul „diplomacy.pl” – care gazduieste arhive ZIP cu malware. O alta tehnica folosita in atacurile CozyDuke si de succes, in general, in multe atacuri cu tinta predefinita este ingineria sociala. Astfel, atacatorii distribuie prin intermediul e-mail-ului videoclipuri de tip flash, care includ executabile periculoase atasate.

In timp ce angajatul organizatei atacate vizioneaza videoclipul, malware-ul se instaleaza discret in sistem si trimite informatii confidentiale despre tinta catre un server de comanda si control. Totodata, primeste fisiere de configurare si module aditionale care implementeaza functionalitati suplimentare necesare atacatorilor.

„Monitorizam campaniile MiniDuke si CosmicDuke, deja, de doi ani,” a declarat Kurt Baumgartner, Principal Security Researcher in cadrul echipei Global Research And Analysis Team, Kaspersky Lab. „Expertii Kaspersky Lab au fost primii care au avertizat utilizatorii cu privire la atacurile MiniDuke in 2013, descoperind mostre de malware care datau inca din 2008. Campania CozyDuke este legata de cele doua campanii, precum si de operatiunea de spionaj cibernetic OnionDuke. Fiecare actor continua sa-si urmareasca victimele si credem ca instrumentele lor de spionaj sunt dezvoltate si administrate de vorbitori de limba rusa,” a explicat Kurt Baumgartner.

Produsele de securitate Kaspersky Lab detecteaza toate mostrele cunoscute de malware si protejeaza utilizatorii de aceste amenintari cibernetice.

Sfaturi pentru utilizatori:
• Nu deschideti fisiere si link-uri de la persoane pe care nu le cunoasteti
• Scanati frecvent PC-ul cu ajutorul unei solutii antimalware eficiente
• Fiti atenti la arhive ZIP care contin fisiere SFX
• Daca nu sunteti siguri cu privire la securitatea fisierului, incercati sa il deschideti in sandbox
• Asigurati-va ca folositi un sistem de operare de ultima generatie si ca il actualizati constant
• Actualizati toate programele instalate, precum Microsoft Office, Java, Adobe Flash Player si Adobe Reader, la cele mai noi versiuni.

Share articol: