Działania cyberprzestępców skierowane na konkretnych użytkowników internetu
Na przełomie 2012 i 2013 roku firma Kaspersky Lab opublikowała badania dotyczące operacji cyberszpiegowskiej skierowanej przeciwko placówkom dyplomatycznym na całym świecie. Wygląda na to, że obecnie zagrożenie to wraca pod postacią działań o kryptonimie Cloud Atlas.
W styczniu 2013 roku, po publikacji raportu na temat operacji cyberprzestepczej znanej pod nazwą Red October, która wymierzona była w służby dyplomatyczne i placówki konsularne wielu państw, cyberprzestepcy zaprzestali swoich działań i zlikwidowali sieć serwerów kontroli operacji. Jak się przypuscza grupa stojąca za tym dzialaniem przeszła w stan uśpienia. Wszystko jednak na to wskazuje, że po kilku miesiącach wrócili do kontynuowania przerwanej operacji.
Pierwsze oznaki powrotu operacji Red October pojawiły się pod koniec 2013 r. Było to zdarzenie związane z pojawieniem się nietypowego szkodliwego oprogramowania Mevader. Mimo wielu podobieństw, nie było jasne czy jest to powrót operacji Red October. Dopiero w sierpniu 2014 r. analitycy z Kaspersky Lab zauważyli ataki ukierunkowane, które realizowane były przy użyciu nietypowego zestawu szkodliwego oprogramowania niemal identycznego jak w wypadku red October. Uwagę ekspertów zwróciła jedna z nazw plików wykorzystywanych przez atakujących do infekowania komputerów potencjalnych ofiar: „Diplomatic Car for Sale.doc”. Red October próbował równiez atakować, zachęcającdo zakupu samochodów, którymi podróżowali dyplomaci. Mało tego, jak się okazało, ataki były skierowane dokadnie przeciw tym samym co wczesniej ofiarom.
Podobnie jak w przypadku operacji Red October, głównym celem Cloud Atlas jest Rosja i Kazachstan. Szkodliwe programy wykorzystywane w kampaniach Cloud Atlas i Red October wykorzystują ten sam schemat – wykorzystuje się tutaj moduł ładujący oraz docelowej funkcji szkodliwej przechowywanej w postaci zaszyfrowanej i skompresowanej w pliku zewnętrznym. W obu wypadkach wykorzystano identyczne algorytmy kompresji, przy czym w wersji zastosowanej w Cloud Atlas zostały one udoskonalone. Z danych pochodzących z Kaspersky Security Network wynika, że niektóre z ofiar kampanii Red October są również ofiarami Cloud Atlas. W co najmniej jednym przypadku komputer ofiary został zaatakowany w ciągu ostatnich dwóch lat tylko dwa razy i to przy użyciu tylko dwóch szkodliwych programów - Red October i Cloud Atlas.
Narzędzia cyberprzestępcze wykorzystywane w kampanii Cloud Atlas stosują nietypowy mechanizm kontroli. Łączą się z określonymi zasobami znajdującymi się w serwisie CloudMe oferującym usługi chmurowe. To właśnie tam cyberprzestępcy umieszczają polecenia dla zainfekowanych maszyn i tam składowane są informacje wykradzione od ofiar. Co ważne, firma CloudMe nie jest w żaden sposób powiązana z grupą Cloud Atlas – osoby atakujące po prostu zakładają darmowe konta u tego dostawcy i wykorzystują je do kontrolowania swoich operacji.
źródło: Kaspersky Lab.
Komentarze
0Nie dodano jeszcze komentarzy. Bądź pierwszy!