Polityka i prawo
Groźne narzędzie hakerów zdemaskowane. Waszyngton powstrzyma cyberprzestępców?
Amerykańskie instytucje ds. cyberbezpieczeństwa udostępniły szczegółowe informacje na temat złośliwego oprogramowania wykorzystywanego przez hakerów do kradzieży danych. Wirus jest elementem trwających kampanii i stanowi poważne zagrożenie dla organizacji oraz pojedynczych użytkowników. Opublikowany raport wpisuje się w szerszą cyberstrategię Waszyngtonu w walce z cyberprzestępcami działającymi na rzecz innych państw.
Złośliwe oprogramowanie zostało zbadane przez specjalistów amerykańskiej Cybersecurity and Infrastructure Security Agency (CISA) oraz Cyber National Mission Force (CNMF). Wirusa nazwano „SlothfulMedia”. Informacje na jego temat udostępniono, aby „umożliwić ochronę sieci i zmniejszyć wrażliwość systemów na aktywność hakerów” – stwierdzono w oficjalnym raporcie CISA i CNMF.
Złośliwe oprogramowanie po uruchomianiu wdraża dwa pliki. Jednym z nich jest trojan zdalnego dostępu (RAT) o nazwie „mediaplayer.exe”. Jest ono przeznaczone do kontrolowania systemów komputerowych ofiar. Analiza wykazała, że wirus umożliwia hakerom uruchamianie dowolnych poleceń na zainfekowanym urządzeniu, robienie zrzutów ekranu, modyfikację plików czy rozpoczynanie lub kończenie wybranych procesów. To skuteczne narzędzie służące między innymi do kradzieży danych.
Drugi plik ma na celu usunięcie śladów złośliwego oprogramowania, gdy RAT zostanie na trwałe zainstalowany na danym nośniku.
SlothfulMedia jest „wykorzystywane w trwających kampaniach, które są prowadzone z wysoką skutecznością” – wskazał na łamach CyberScoop rzecznik Cyber Command. CISA oraz CNMF nie przedstawiły jednak szczegółów na temat źródła operacji hakerskich ani ich ofiar.
W raporcie podkreślono, że użytkownicy lub administratorzy sieci powinni oznaczyć podejrzaną aktywność związaną ze złośliwym oprogramowaniem SlothfulMedia, a następnie zgłosić ją do CISA lub FBI Cyber Watch (CyWatch). Specjaliści wydali również szereg rekomendacji, które mają przyczynić się do podniesienia poziomu bezpieczeństwa systemów.
W ramach prewencji konieczne jest wykorzystywanie najnowszych wersji programów antywirusowych oraz regularnie aktualizować system operacyjny. Równie istotne jest ograniczenie uprawnień użytkowników (w przypadku organizacji) do instalowania i uruchamiania „niechcianych” aplikacji. „Nie dodawaj użytkowników do lokalnej grupy administratorów, chyba że jest to niezbędne” – wskazuje CISA oraz CNMF.
Bardzo ważne jest także regularne zmienianie haseł dostępu oraz zachowanie szczególnej ostrożności podczas odbierania poczty e-mail, nawet jeśli nadawca wiadomości wydaje się dobrze znany. W tym kontekście należy również skanować i usuwać wszystkie podejrzane załączniki.
Administratorzy w ramach prewencji powinni monitorować „nawyki przeglądania sieci przez użytkowników” oraz ograniczyć dostęp do witryn, które mogą zawierać szkodliwe treści. Ponadto szczególnie ważna jest kontrola korzystania z nośników wymiennych, które są podłączane do danych urządzeń.
Raport CISA oraz CNMF został opublikowany w momencie, gdy amerykański rząd podejmuje działania na rzecz zmiany podejścia do operacji hakerskich, pracujących na rzecz innego państwa. Tonya Ugoretz, przedstawicielka FBI, powiedziała w rozmowie z CyberScoop, że nowa „cyberstrategia” Biura koncentruje się na efektywniejszej synergii wysiłków podejmowanych przez agencje federalne w celu skuteczniejszego wyłapywania oraz karania hakerów.
Czytaj też: Popularny wirus ukryty w aplikacjach na Androida
