Strona główna
Nowa kampania przeciwko infrastrukturze krytycznej – operacja Ghoul
W sieci pojawiła się nowa kampania złośliwego oprogramowania wycelowana w organizacje przemysłowe, wykorzystując gotowe wirusy dostępne na czarnym rynku. Fala ataków kierunkowych ma na celu kradzież danych komercyjnych na komputerach należących do pracowników sektorów przemysłowych i technologicznych.
Kampanie zidentyfikowali badacze z Kaspersky Lab, jak mówią hakerzy stosują odpowiednio spreparowane wiadomości e-mail oraz szkodliwe oprogramowanie oparte na komercyjnym zestawie do tworzenia narzędzi szpiegujących (tzw. spyware). Łącznie grupa Ghoul skutecznie zaatakowała ponad 130 organizacji z 30 krajów, w tym Hiszpanii, Pakistanu, Zjednoczonych Emiratów Arabskich, Indii, Egiptu, Wielkiej Brytanii, Niemiec, Arabii Saudyjskiej oraz innych państwach.
W czerwcu 2016 r. badacze zauważyli falę phishingowych wiadomości e-mail zawierających szkodliwe załączniki. E-maile były wysyłane głównie do menedżerów średniego i najwyższego szczebla wielu organizacji. Wiadomości wydawały się pochodzić z banku w Zjednoczonych Emiratach Arabskich: wyglądały jak powiadomienie o płatności z banku z załączonym dokumentem SWIFT, w rzeczywistości jednak archiwum to kryło szkodliwe oprogramowanie. Dalsze dochodzenie przeprowadzone przez analityków ujawniło, że wiadomości były najprawdopodobniej wysyłane przez ugrupowanie cyberprzestępcze śledzone przez badaczy firmy od marca 2015 r. Wygląda na to, że czerwcowe ataki to najnowsza operacja tej grupy.
Ukryte w załączniku szkodliwe oprogramowanie zostało stworzone w oparciu o komercyjny program spyware HawkEye, który jest sprzedawany w podziemiu cyberprzestępczym – darkweb, oferując szereg różnych narzędzi atakującym. Po zainstalowaniu gromadzi określone dane z komputera ofiary, w tym:
-
teksty wprowadzane z klawiatury,
-
dane ze schowka,
-
dane uwierzytelniające serwer FTP,
-
dane dotyczące kont z przeglądarek,
-
dane dotyczące kont z klientów komunikatorów internetowych (Paltalk, Google Talk, AIM i inne),
-
dane dotyczące kont z klientów poczty e-mail (Outlook, Windows Live mail i inne),
-
informacje o zainstalowanych aplikacjach (np. Microsoft Office).
Dane te są następnie wysyłane do serwerów kontroli cyberprzestępców. Na podstawie analizy takich serwerów eksperci twierdzą, że większość ofiar to organizacje działające w sektorze przemysłowym i budowy maszyn, a pozostałe stanowią podmioty z branży transportowej, farmaceutycznej, produkcyjnej, firmy handlowe, organizacje edukacyjne i inne. Wszystkie te firmy posiadają cenne informacje, które można sprzedać na czarnym rynku – zysk finansowy to główny motyw działania osób odpowiedzialnych za operację Ghoul.
Operacja Ghoul to jedna spośród wielu kampanii, które są prawdopodobnie kontrolowane przez tę samą grupę, która wciąż pozostaje aktywna. Głównym jej motywem jest chęć uzyskania korzyści finansowych ze sprzedaży skradzionej własności intelektualnej oraz informacji biznesowych i przeprowadzanie ataków na konta bankowe swoich ofiar. W przeciwieństwie do ugrupowań sponsorowanych przez rządy, które precyzyjnie wybierają swoje cele, zarówno omawiane tutaj, jak i podobne ugrupowania mogą zaatakować dowolną firmę. Mimo wykorzystywania raczej prostych szkodliwych narzędzi ich ataki są bardzo skuteczne. Dlatego firmy, które nie są przygotowane na rozpoznanie tych ataków, niestety mogą paść ich ofiarą – powiedział Mohammad Amin Hasbini, ekspert ds. bezpieczeństwa IT, Kaspersky Lab.
W celu zapewnienia firmie ochrony przed atakiem w ramach operacji Ghoul – oraz innymi, podobnymi zagrożeniami – badacze z Kaspersky Lab zalecają stosowanie następujących środków bezpieczeństwa:
-
Prowadzenie szkoleń dla personelu, które pozwolą odróżnić e-mail lub załącznik phishingowy od prawdziwych, wiarygodnych treści.
-
Wykorzystywanie sprawdzonego rozwiązania bezpieczeństwa klasy korporacyjnej w połączeniu z rozwiązaniami do ochrony przed atakami ukierunkowanymi, które potrafią zidentyfikować ataki poprzez analizę anomalii sieciowych.
-
Zapewnienie personelowi odpowiedzialnemu za bezpieczeństwo dostępu do najnowszych danych pozwalających na analizę zagrożeń, które będą stanowiły przydatne narzędzia zapobiegania i wykrywania ataków ukierunkowanych.
Szkodliwe oprogramowanie wykorzystywane przez ugrupowanie stojące za operacją Ghoul jest wykrywane pod następującymi nazwami:
-
Trojan.MSIL.ShopBot.ww
-
Trojan.Win32.Fsysna.dfah
-
Trojan.Win32.Generic
Źródło: Kasperky Lab
Czytaj też: Infrastruktura krytyczna: 9 na 10 firm celem cyberataku