Un grup de spionaj cibernetic foloseste denumirea unui popular serviciu de messenger pentru atacuri asupra unor entitati diplomatice din Asia Centrala

Cercetatorii Kaspersky Lab au descoperit un val de atacuri de spionaj cibernetic care vizeaza organizatii diplomatice din Asia Centrala. Troianul, denumit Octopus, pretinde a fi o versiune a unui popular serviciu de mesagerie online si a atras utilizatorii, in contextul stirilor despre interzicerea Telegram in regiune. Odata instalat, Octopus le oferea atacatorilor acces de la distanta la computerele victimelor.

Atacatorii cauta mereu noi tendinte de care sa profite si isi adapteaza metodele la ele, pentru a pune in pericol informatiile private ale utilizatorilor si date sensibile, in toata lumea. In acest caz, presupusa interzicere a serviciului de mesagerie Telegram le-a permis autorilor sa planuiasca atacuri folosind troianul Octopus, care sa le ofere acces de la distanta la computerul unei victime.

181012-octopus-1

Autorii au trimis troianul Octopus sub forma unei arhive „deghizate” intr-o varianta de Telegram messenger pentru partidele de opozitie din Kazahstan. Pachetul includea un simbol recognoscibil al unuia dintre partidele de opozitie din regiune, iar troianul era ascuns inauntru. Odata activat, troianul le dadea atacatorilor posibilitatea sa realizeze diverse operatiuni cu date pe computerul infectat, printre care: stergere, blocare, modificare, copiere si descarcare. Astfel, atacatorii au reusit sa isi spioneze victimele, sa fure date sensibile si sa aiba acces in sisteme. Metoda are cateva asemanari cu grupul de spionaj cibernetic Zoo Park, in care malware-ul folosit replica o aplicatie Telegram, pentru a-si spiona victimele.

Folosind algoritmii Kaspersky care recunosc similitudinile din cod, cercetatorii au descoperit ca Octopus ar putea avea legaturi cu DustSquad – un atacator de spionaj cibernetic, vorbitor de limba rusa, detectat anterior in foste tari URSS din Asia Centrala, precum si in Afganistan, incepand cu 2014. In ultimii doi ani, cercetatorii au detectat patru campanii de-ale lor cu malware personalizat care viza atat utilizatori individuali, cat si entitati diplomatice.

„Am vazut numerosi atacatori care vizeaza entitati diplomatice din Asia Centrala in 2018”, spune Denis Legezo, security researcher la Kaspersky Lab. „DustSquad activeaza in regiune de mai multi ani si ar putea sa se afle in spatele acestei noi amenintari. Aparent, interesul pentru afacerile cibernetice din aceasta zona este in crestere. Le recomandam utilizatorilor si organizatiilor din perimetrul vizat sa fie cu ochii pe sistemele lor si sa-si instruiasca angajatii sa faca acelasi lucru.”

Pentru a reduce riscul atacurilor cibernetice complexe, Kaspersky Lab recomanda implementarea urmatoarelor masuri:

  • Educati-va angajatii in privinta bunelor practici digitale si explicati-le cum sa recunoasca si sa evite aplicatii sau fisiere potential periculoase. De exemplu, angajatii nu ar trebui sa descarce si sa lanseze nicio aplicatie sau programe din surse neverificate sau necunoscute.
  • Folositi o solutie de securitate eficienta cu functie Application Control, care limiteaza capacitatea unei aplicatii de a lansa sau accesa resurse ale sistemului critic.
  • Implementati un set de solutii si tehnologii impotriva atacurilor directionate, cum sunt Kaspersky Anti Targeted Attack Platform si Kaspersky EDR. Acestea pot ajuta la detectarea activitatilor periculoase, la investigarea eficienta si la luarea de masuri, in cazul atacurilor, blocandu-le evolutia.
  • Asigurati-va ca echipa de securitate a companiei are acces la o sursa de incredere de informatii despre amenintarile cibernetice.

Raportul integral poate fi citit pe Securelist.com.

 16 octombrie 2018 – Kaspersky