CozyDuke - Biały Dom i Departament Stanu padły ofiarą cyberszpiegostwa
Globalny Zespół ds. Badań i Analiz (GReAT) z Kaspersky Lab opublikował raport poświęcony nowej, zaawansowanej kampanii cyberszpiegowskiej wykorzystującej szkodliwe oprogramowanie do atakowania szczegółowo wybranych celów najwyższego szczebla. Ofiary – zlokalizowane głównie na terenie Stanów Zjednoczonych – mogą obejmować Biały Dom oraz Departament Stanu, a na liście celów atakujących znalazły się także organizacje rządowe i firmy z Niemiec, Korei Południowej i Uzbekistanu.
Poza faktem atakowania celów najwyższego szczebla nowa operacja cyberprzestępcza wyróżnia się także innymi alarmującymi cechami - zastosowaniem zaawansowanych możliwości szyfrowania i zapobiegania wykryciu poprzez "walkę" z oprogramowaniem antywirusowym.
Eksperci wykryli w omawianej operacji rozbudowany zakres szkodliwej funkcjonalności oraz podobieństwa do wcześniejszych kampanii cyberszpiegowskich: MiniDuke, CosmicDuke i OnionDuke, za którymi prawdopodobnie stoją atakujący posługujący się językiem rosyjskim. Badania Kaspersky Lab potwierdzają, że operacje MiniDuke oraz CosmicDuke są w dalszym ciągu aktywne, a na ich celowniku znajdują się organizacje dyplomatyczne, ambasady, firmy z branży energetycznej, naftowej, gazowej, telekomunikacyjnej i wojskowej, a także jednostki badawcze i naukowe w wielu krajach.
Szkodliwe programy wykorzystywane w ramach kampanii CozyDuke atakują swoje ofiary przede wszystkim poprzez spersonalizowane phishingowe wiadomości e-mail z odnośnikiem do zhakowanej strony WWW - w niektórych przypadkach były to oficjalne witryny niewzbudzające żadnych podejrzeń (np. strona "diplomacy.pl", na której atakujący umieścili archiwum ZIP ze szkodliwym programem). W innych przypadkach atakujący wysyłali wiadomości zawierające rzekome filmy, które w rzeczywistości były zainfekowanymi plikami wykonywalnymi.
Do przeprowadzania szkodliwych działań na komputerze ofiary CozyDuke stosuje trojana, który wysyła informacje o systemie do serwera kontrolowanego przez cyberprzestępców. W odpowiedzi trojan otrzymuje polecenia oraz dodatkowe moduły dodające dalszą funkcjonalność wymaganą przez atakujących.
"Monitorujemy kampanie MiniDuke oraz CosmicDuke już od kilku lat - w 2013 r. Kaspersky Lab jako pierwsza firma z branży ostrzegła świat o atakach operacji MiniDuke. Nasze badania wykazały, że CozyDuke jest powiązany z tymi kampaniami, a także z operacją OnionDuke. Wszystkie te kampanie są ciągle aktywne i atakują swoje cele. Ponadto, wykryte przez nas ślady pozwalają sądzić, że za narzędziami szpiegowskimi wykorzystywanymi w omawianych atakach stoją osoby posługujące się biegle językiem rosyjskim" - powiedział Kurt Baumgartner, główny badacz ds. bezpieczeństwa, Globalny Zespół ds. Badań i Analiz, Kaspersky Lab.
Porady bezpieczeństwa dla użytkowników
- Nie otwieraj załączników z wiadomości pochodzących od nadawców, których nie znasz,
- Regularnie skanuj swój komputer skutecznym i aktualnym rozwiązaniem antywirusowym,
- Uważaj na archiwa ZIP, w których znajdują się pliki SFX,
- Jeżeli nie masz pewności co do załącznika wiadomości, nie otwieraj go lub skontaktuj się z nadawcą,
- Upewnij się, że korzystasz z nowoczesnego systemu operacyjnego z zainstalowanymi wszystkimi uaktualnieniami,
- Dbaj o szybkie instalowanie uaktualnień dla wszystkich aplikacji, z których korzystasz, takich jak Microsoft Office, Java, Adobe Flash Player czy Adobe Reader.