Blue Termite - organizacje z Japonii celem kampanii cyberszpiegowskiej

W październiku 2014 r. badacze z Kaspersky Lab trafili na nieznaną wcześniej próbkę szkodliwego oprogramowania, która wyróżniała się spośród innych swoją złożonością. Dalsza analiza wykazała, że próbka ta stanowi jedynie niewielki element dużej i wyrafinowanej kampanii cyberszpiegowskiej – Blue Termite. Lista atakowanych branż i instytucji obejmuje: organizacje rządowe, przemysł ciężki, branżę finansową, chemiczną, satelitarną, media, organizacje edukacyjne, branżę spożywczą, organizacje medyczne i inne. Wyniki dochodzenia wskazują, że kampania jest aktywna od około dwóch lat.

Różne techniki infekcji

Osoby stojące za kampanią Blue Termite stosują kilka technik infekowania swoich ofiar. Przed lipcem 2015 r. ugrupowanie to wykorzystywało głównie ukierunkowane e-maile phishingowe (tzw. spear-phishing), czyli wysyłanie szkodliwego oprogramowania jako załącznika do wiadomości e-mail, której treść mogła zwrócić uwagę ofiary. Jednak w lipcu cyberprzestępcy zmienili taktykę i zaczęli rozprzestrzeniać szkodliwe oprogramowanie przy użyciu szkodliwego programu wykorzystującego niezałataną lukę w aplikacji Flash Player (tego samego, który wcześniej tego lata wyciekł w wyniku incydentu związanego z organizacją Hacking Team).  

Atakujący zmodyfikowali kilka japońskich stron internetowych, tak aby odwiedzające je osoby automatycznie pobrały szkodliwy kod i zostały zainfekowane. Technika ta nosi nazwę ataku drive-by-download. Odnotowano również próby profilowania ofiar. Jedna ze zmodyfikowanych stron należała do znanego członka japońskiego rządu, inna zawierała szkodliwy skrypt, który odfiltrowywał odwiedzających ze wszystkich adresów IP z wyjątkiem jednego należącego do konkretnej organizacji japońskiej. Innymi słowy, szkodliwa funkcja była dostarczana tylko wybranym użytkownikom.

Szkodliwe oprogramowanie dla każdego i ślady językowe

Po udanej infekcji na atakowanej maszynie zostaje zainstalowany wyrafinowany trojan, który daje cyberprzestępcom kontrolę nad komputerem ofiary, a dodatkowo potrafi m.in. kraść hasła, pobierać i instalować dalsze szkodliwe programy i wykonywać polecenia atakujących. Jednym z najbardziej interesujących aspektów dotyczących szkodliwego oprogramowania wykorzystywanego przez grupę stojącą za kampanią Blue Termite jest to, że każdej ofierze dostarczana jest unikatowa próbka szkodliwego oprogramowania, stworzona w taki sposób, by można było ją uruchomić tylko na określonym komputerze. Według badaczy z Kaspersky Lab, miało to na celu utrudnienie ekspertom ds. bezpieczeństwa analizowanie i wykrywanie tego szkodnika.      

Nadal nie wiadomo, kto stoi za opisywanym atakiem. Jak zwykle w przypadku wyrafinowanych cyberataków, zidentyfikowanie osoby odpowiedzialnej jest bardzo skomplikowanym zadaniem. Jednak badacze zdołali zebrać kilka śladów językowych w kodzie – interfejs graficzny cyberprzestępczego serwera kontroli oraz kilka dokumentów technicznych związanych ze szkodliwym oprogramowaniem wykorzystywanym w operacji Blue Termite napisano w języku chińskim.  

Po zgromadzeniu informacji potwierdzających, że Blue Termite jest kampanią cyberszpiegowską wycelowaną w organizacje japońskie, przedstawiciele Kaspersky Lab poinformowali o swoich ustaleniach lokalne organy ścigania. Operacja Blue Termite jest nadal aktywna, dlatego Kaspersky Lab wciąż prowadzi śledztwo w tej sprawie.   

„Chociaż Blue Termite nie jest jedyną kampanią cyberszpiegowską, której cele znajdują się w Japonii, jest to pierwsza znana Kaspersky Lab operacja, która koncentruje się ściśle na organizacjach z tego kraju. Incydenty związane z Blue Termite zostały nagłośnione w Japonii na początku czerwca 2015 r., kiedy miał miejsce cyberatak na Japoński Fundusz Emerytalny. Od tego czasu japońskie organizacje zaczęły stosować środki ochrony, jednak cyberprzestępcy zaczęli stosować nowe metody ataków i skutecznie rozszerzyły swój zasięg” – powiedział Suguru Ishimaru, badacz ds. bezpieczeństwa IT, Kaspersky Lab.