Hakerska grupa koju je kopanija Kaspersky Lab identifikovala kao „Divlji Neutron” (a koja je poznata i kao „Jripbot” i „Morpho”) napala je 2013. godine nekoliko kompanija visokog profila među kojima su Apple, Facebook, Twitter i Microsoft. Nakon velikog publicieta koji je iazvao ovaj incident, virus nije bio aktivan skoro godinu dana. Krajem 2013. i početkom 2014. godine, napadi su ponovo postali aktuelni i nastavili su se čak i u 2015. godini. Ova pretnja koristi ukradeni sertifikat za verifikaciju šifara i nepoznatu ranjivost Flash Player-a kako bi inficirala kompanije i pojedinačne korisnike širom sveta i ukrala od njih poverljive poslovne informacije.
Istraživači iz kompanije Kaspersky Lab su uspeli da identifikuju mete napada ove pretnje u 11 zemalja uključujući i Francusku, Rusiju, Švajcarsku, Nemačku, Austriju, Palestinu, Sloveniju, Kazahstan, Ujedinjene Arapske Emirate, Alžir i Sjedinjene Američke Države. Među metama su bile advokatske kancelarije, kompanije koje funkcionišu putem bitcoin-a, organizacije koje se bave investicijama, IT kompanije, zdravstvene ustanove, kompanije za nekretnine, grupe velikih kompanija koje su često uključene u poslove spajanja i akvizicija, kao i pojedinačni korisnici.
Osnovni fokus ovih napada ukazuje na to ih nije finansirala nijedna država. Međutim, korišćenje malvera nultog dana sa više platformi kao i druge tehnike koje su identifikovali stručnjaci u kompaniji Kaspersky Lab ukazuje na to da je u proces špijunaže uključena neka jaka strana, verovatno iz ekonomskih razloga.
Napad
Vektor prvobitne infekcije nedavnih napada je i dalje nepoznat, ali postoje jasne indicije da su žrtve napdnute pomoću alata koji koriste nepoznatu ranjivost Flash Player-a preko kompromitovanih veb sajtova. Na ovaj način se na računar žrtve prenosi paket sa malverom.
U napadima koje su posmatrali istraživači iz kompanije Kaspersky Lab, „dropper“ program je bio potpisan legitimnim sertifikatom za verifikaciju šifara. Korišćenje sertifikata je omogućilo malver programima da izbegnu detekciju određenih programa za zaštitu. Sertifikat koji je korišćen u napadima grupe Divlji Neutron je ukraden od jednog poznatog proizvođača električnih uređaja. Ovaj sertifikat je sada ukinut.
Nakon što je dospeo u sistem, „dropper“ na računar instalira glavni backdoor program.
Kada je u pitanju funkcionalnost, glavni backdoor program se ne razlikuje od mnogih drugih alata za daljinski pristup (RAT). Ono što se zapravo ističe jeste želja napadača da sakrije adresu komandnog i kontrolnog servera (C&C) i njegova sposobnost da se oporavi nakon obaranja. Komandni i kontrolni server je bitan deo maliciozne infrastrukture pošto se koristi kao „baza“ za malver koji se nalazi na računarima žrtava. Specijalne mere koje su ugrađene u malver pomažu napadačima da zaštite infrastrukturu od mogućih pokušaja obaranja komandnog i kontrolnog servera.
Misteriozno poreklo
Poreklo ovih napadača je i dalje misterija. U nekim situacija, kodirana konfiguracija je sadržala niz znakova koji predstavljaju izraz „La revedere” („Doviđenja” na rumunskom) kako bi označila kraj C&C komunikacije. Pored toga, istraživači iz kompanije Kaspersky Lab su otkrili još jedan strani niz znakova koji predstavlja latinsku transkripciju ruske reči „Успешно” („uspeshno” -> „uspešno”).
„Divlji Neutron je vešta i prilagodljiva hakerska grupa. Ona je aktivna još od 2011. godine i koristila je makar jednu ranjivost nultog dana, posebno napravljen malver i alate za Windows i OS X. Iako je u prošlosti napadala neke od najpoznatijih svetskih kompanija, uspela je da ostane relativno neprimetna pomoću dobre operativne bezbednosti koja je do sada uglavnom onemogućavala da se grupa poveže sa konkretnim napadima. Činjenica da je ova grupa napadala najveće IT kompanije, proizvođače spyware programa (FlexiSPY), džihadističke forume („Ansar Al-Mujahideen English Forum”) i Bitcoin kompanije ukazuje na to da je ona jako fleksibilna i da ima neobičan mentalitet i interesovanja”, izjavio je Kostin Raju (Costin Raiu), direktor globalnog tima za istraživanje i razvoj u kompaniji Kaspersky Lab.
Proizvodi kompanije Kaspersky Lab uspešno detektuju i blokiraju malver koji koristi hakerska grupa Divlji Neutron sa imenima Trojan.Win32.WildNeutron.gen, Trojan.Win32.WildNeutron.*, Trojan.Win32.JripBot.*, Trojan.Win32.Generic.