Kompanija Kaspersky Lab je nedavno otkrila pretnju Grabit, kampanju sajber špijunaže orijentisanu na kompanije tokom koje je ukradeno oko 10.000 fajlova iz malih/srednjih preduzeća, uglavnom na teritoriji Tajlanda, Indije i SAD. Na listi meta ove pretnje se nalaze kompanije iz oblasti kao što su hemikalije, nanotehnologija, obrazovanje, poljoprivreda, mediji, građevina i druge.
Među drugim državama koje su takođe bile izložene ovoj kampanji nalaze se Ujedinjeni Arapski Emirati, Nemačka, Izrael, Kanada, Francuska, Austrija, Šri Lanka, Čile i Belgija.
„Uočavamo veliki broj kampanja špijunaže koje targetiraju velika preduzeća, vladine organizacije i druge kompanije visokog profila, ali mala i srednja preduzeća se retko nalaze na listi meta. Međutim, pretnja Grabit pokazuje da se ne radi samo o „velikim igračima“ – u sajber svetu je svaka organizacija, bilo da poseduje novac, informacije ili politički uticaj, potencijalna meta malicioznih napada. Grabit je i dalje aktivna pretnja, i od izuzetne je važnosti da proverite vašu mrežu kako biste bili sigurni da ste bezbedni. Otkriveno je, 15. maja, da je jednostavan Grabit keylogger program posedovao identifikacione podatke sa više od hiljadu naloga koji su se nalazili na zaraženim sistemima. Ovakvu pretnju ne treba potcenjivati”, izjavio je Ido Noar, viši istraživač za bezbednost u okviru sektora za istraživanje i analizu kompanije Kaspersky Lab.
Inficiranje sistema počinje tako što korisnik u preduzeću dobije i-mejl u čijem prilogu se nalazi nešto što liči na Word (.doc) dokument. Kada korisnik preuzme ovaj dokument, program za špijunažu se instalira na računar sa udaljenog servera koji je hakovala grupa sajber kriminalaca kako bi ga koristila za prosleđivanje malver poruka. Napadači kontrolišu svoje mete uz pomoć HawkEye keylogger programa, komercijalnog špijunskog alata u sklopu HawkEye proizvoda, i konfiguracijskog modula koji sadrži brojne alate za daljinsku administraciju (RAT).
Da bi se demonstrirala skala na kojoj ova pretnja funkcioniše, kompanija Kaspersky Lab vam iznosi podatke da je jedan keylogger program na samo jednom komandnom i kontrolnom serveru uspeo da ukrade 2887 lozinki, 1053 i-mejl poruke i 3023 korisnička imena sa 4928 različitih domaćina, interno i eksterno, među kojima su Outlook, Facebook, Skype, Google mail, Pinterest, Yahoo, LinkedIn i Twitter, kao i podaci sa bankovnih računa i mnogi drugi.
Nestabilna grupa sajber kriminalaca
Sa jedne strane, pretnja Grabit se ne trudi preterano da sakrije svoje aktivnosti: neki maliciozni napadi su koristili isti server, pa čak i iste identifikacione podatke, pri čemu su smanjivali svoju bezbednost. Sa druge strane, napadači koriste ozbiljne tehnike sakrivanja kako bi njihov kod ostao nevidljiv za analitičare. Zbog ovoga kompanija Kaspersky Lab veruje da iza ove špijunske operacije stoji nestabilna grupa, gde neki članovi poseduju veće tehnološko znanje i više se fokusiraju na to da ostanu nevidljivi u odnosu na druge članove. Stručna analiza ukazuje na to da ko god je programirao ovaj malver nije pisao kod od samog početka.
Da biste se zaštitili od pretnje Grabit, kompanija Kaspersky Lab preporučuje da sledite sledeća pravila:
- Proverite na vašem računaru lokaciju C:\Users\<PC-NAME>\AppData\Roaming\Microsoft, i ako ona sadrži neki izvršni fajl, verovatno je da je vaš računar zaražen malverom. Ovo je upozorenje koje ne bi trebalo da ignorišete.
- U okviru konfiguracije Windows sistema (Windows System Configurations) ne bi trebalo da postoji fajl pod nazivom grabit1.exe. Ukucajte „msconfig” na startup meniju i proverite da nema grabit1.exe fajla.
- Ne otvarajte priloge i linkove koje dobijete od ljudi koje ne poznajete. Ako ne možete da ga otvorite, ne prosleđujte ga drugima već kontaktirajte podršku ili IT administratora.
- Koristite napredne i ažurirane antivirus programe, i uvek pratite uputstva vašeg antivirus programa kada su u pitanju sumnjivi procesi.