Kompanija Kaspersky Lab nedavno je otkrila novi talas ciljanih napada na industrijski i inženjerski sektor u više zemalja širom sveta. Koristeći spear-phishing i-mejlove i malver baziran na komercijalnoj spyware opremi, kriminalci napadaju korporativne podatke i informacije koji se nalaze u mrežama njihovih žrtava. Ova grupa je uspešno napala preko 130 organizacija iz 30 zemalja, uključujući Španiju, Pakistan, Ujedinjene Arapske Emirate, Indiju, Egipat, Veliku Britaniju, Nemačku, Saudijsku Arabiju i druge zemlje.
U junu 2016. godine, istraživači iz kompanije Kaspersky Lab primetili su talas spear-phishing i-mejlova sa malicioznim prilozima. Ovi i-mejlovi se uglavnom šalju top menadžerima i menadžerima srednjeg nivoa brojnih kompanija. Poruke koje su napadači poslali podsećali su na autentične i-mejlove banke u Ujedinjenim Arapskim Emiratima (UAE), pri čemu se u prilogu nalazio SWIFT dokument koji je zapravo sadržao arhivu sa malverom.
Daljom istragom koju su sproveli istraživači iz kompanije Kaspersky Lab ustanovljeno je da su spear-phishing kampanju najverovatnije organizovale sajber kriminalne grupe koje su istraživači iz kompanije već prethodno posmatrali od marta 2015. godine. Napadi iz juna ove godine predstavljaju najnoviju operaciju ove grupe.
The malware in the attachment is based on the HawkEye commercial spyware that is being sold openly on the Darkweb, and provides a variety of tools for the attackers. After installation it collects interesting data from the victim’s PC, including:
Malver koji se nalazio u prilogu zasnovan je na HawkEye komercijalnom spyware-u koji se nalazi u slobodnoj prodaji na Darkweb-u, i napadačima obezbeđuje brojne alate. Nakon instalacije, malver prikuplja korisne podatke iz računara žrtve, kao što su:
- Najčešće korišćeni tasteri na tastaturi
- Akreditivi za FTP server
- Podaci o nalozima na veb pretraživačima
- Podaci o nalozima na platformama za komunikaciju (Paltalk, Google talk, AIM…)
- Podaci o nalozima na i-mejl servisima (Outlook, Windows Live mail…)
- Informacije o instaliranim aplikacijama (Microsoft Office)
Ovi podaci se zatim šalju ka komandnim i kontrolnim serverima napadača. Na osnovu informacija koje su otkrivene na ovim serverima, zaključeno je da većina žrtava radi u organizacijama iz industrijskog i inžinjersko sektora, a neke od žrtava su bile zaposlene i u oblasti špedicije, farmacije, proizvodnje, trgovine i obrazovanja.
Ove kompanije imaju vredne informacije koje napadači mogu da prodaju na crnom tržištu, i finansijska korist je uglavnom osnovni motiv napadača koji stoje iza operacije Ghoul.
Operacija Ghoul, kako su je nazvali istraživači iz kompanije Kaspresky Lab, samo je jedna od nekoliko kampanja koje navodno sprovodi ista grupa, koja je i dalje aktivna.
„Prema starom verovanju, Ghoul je zao duh koji konzumira ljudsko meso i lovi decu, a ima poreklo još iz Mesopotamije. Danas se ovaj termin ponekad koristi da opiše materijalnu i pohlepnu osobu. Ovo je prilično precizan opis grupe koja stoji iza operacije Ghoul. Njihova glavna motivacija je finansijska korist koja se ostvaruje pomoću preprodaje ukradenih podataka i informacija. Za razliku od napadača koji imaju pomoć državnih organa, i koji pažljivo biraju svoje žrtve, ova grupa može napasti bilo koju kompaniju na svetu, bez ikakvog kriterijuma. Iako koriste veoma jednostavne maliciozne alatke, oni su veoma efikasni u svojim napadima. Zbog toga će kompanije koje nisu spremne za napade, a nađu se na meti ove grupe, gotovo sigurno osetiti posledice”, izjavio je Mohammad Amin Hasbini, bezbednosni stručnjak u kompaniji Kaspersky Lab.
Kako bi zaštitili svoje kompanije od operacije Ghoul, kompanija Kaspersky Lab savetuje korisnicima da preduzmu sledeće bezbednosne mere:
- Edukacija zaposlenih kako bi bili u stanju da razlikuju spear-phisinh i-mejlove od legitimnih i-mejlova i linkova.
- Korišćenje dokazanog bezbednosnog rešenja za korporativno okruženje, u kombinaciji sa rešenjima za zaštitu od ciljanih napada, koja imaju mogućnost da spreče napad kroz analizu anomalija na mreži.
- Omogućavanje zaposlenima da imaju pristup bezbednosnim podacima o najaktuelnijim sajber pretnjama, što će im pomoći da uoče pretnju i zaustave napad.
Kaspersky Lab proizvodi detektuju malver koji koristi grupa koja stoji iza operacije Ghoul, a imena koja detektuju su: Trojan.MSIL.ShopBot.ww, Trojan.Win32.Fsysna.dfah, Trojan.Win32.Generic.