Tim za globalno istraživanje i analizu kompanije Kaspersky Lab otkrio je Plavog Termita – sajber špijunsku kampanju čije su mete, u protekle dve godine, bile stotine organizacija u Japanu. Napadači love poverljive informacije i koriste Flash player eksploit alat nultog dana i sofisticirani backdoor program, koji je posebno prilagođen svakoj žrtvi. Ovo je prva kampanja koja je isključivo fokusirana na Japanske mete – i još uvek je aktivna.
U oktobru 2014. godine istraživači iz kompanije Kaspersky Lab su se suočili sa nikada do tada viđenim primerom malvera koji se razlikovao od drugih po svojoj složenosti. Dodatne analize su pokazale da je ovaj uzorak samo mali deo velike i sofisticirane sajber špijunske kampanje. Na spisku meta se nalaze vladine organizacije, teške industrije, finansijske, hemijske, satelitiske, medijske, medicinske i prosvetne oganizacije, prehrambena industrija i druge kompanije.
Raznovrsne tehnike inficiranja
Kako bi inficirali svoje žrtve, članovi Plavog Termita koriste nekoliko tehnika. Do jula 2015. godine, uglavnom su koristili spear-phishing i-mejl poruke – slanje malicioznog softvera u prilogu i-mejla koji svojim sadržajem treba da privuče žrtve. Međutim, tokom jula, napadači su promenili taktiku i počeli da šire malver koristeći Flash-player eksploit alat nultog-dana (CVE-2015-5119, eksploit koji je „procureo” zbog Hacking Team incidenta tokom ovog leta). Takođe, kompromitovali su nekoliko Japanskih veb stranica tako da njihovi posetioci automatski downloaduju eksploit alat čim posete sajt i tako inficiraju svoj uređaj. Ova tehnika je poznata pod imenom “drive-by-downloads”.
Primena eksploit alata nultog dana je dovela do znatnog porasta broja zaraženih uređaja koje je sistem za detekciju kompanije Kaspersky Lab registrovao sredinom Jula.
Bilo je i pokušaja da se napravi profil registrovanih žrtvi. Jedna od inficiranih veb stranica pripadala je poznatom članu japanske vlade, a druga je sadržala maliciozni script koji filtrira sve IP adrese, osim one koja pripada tačno određenoj japanskoj organizaciji. Drugim rečima – samo bi izabrani korisnici bili inficirani.
Jedinstveni malver i jezički artefakti
Posle uspešne infekcije, sofisticirani backdoor program se aktivira na ciljanom uređaju. On može da krade lozinke, preuzima i pokreće dodatne maliciozne programe, pristupa fajlovima, itd. Jedna od najinteresantnijih stvari je da je svakoj žrtvi Plavog Termita poslata jedinstvena verzija malvera koja je napravljena tako da može biti pokrenuta samo na ciljanom PC računaru. Istraživači kompanije Kaspersky Lab smatraju da je ova tehnika osmišljena kako bi stručnjacima za sigurnost bilo otežano detektovanje i analiza ovog malicioznog softvera.
Pitanje ko stoji iza ovog napada ostaje otvoreno. Kao i obično, identifikovanje napadača, kada su u pitanju sofisticirani sajber napadi, veoma je složen zadatak. Ali, istraživači iz kompanije Kaspersky Lab uspeli su da prikupe neke jezičke artefakte. Korisnički grafički interfejs komandnog i kontrolnog servera, kao i tehnička dokumentacija vezana za maliciozni softver koji su korišceni za rad Plavog Termita, pisani su na kineskom jeziku. Ova činjenica može značiti da osobe koje stoje iza napada govore tim jezikom.
Čim su istraživači iz kompanije Kaspersky Lab skupili dovoljno informacija kako bi mogli da potvrde da je Plavi Termit sajber špijunska kampanja protiv japanskih organizacija, njihovi predstavnici su o tome obavestili agencije za sprovođenje zakona. S obzirom da je operacija Plavi Termit i dalje u toku, istraga kompanije Kaspersky Lab se takođe nastavlja.
„Iako Plavi Termit nije prva sajber špijunska kampanja protiv Japana, to je prva kampanja za koju kompanija Kaspersky Lab zna da ima isključiv fokus na Japanske ciljeve. Ovo je u Japanu još uvek problem. Od početka juna, kada se detaljno izveštavalo o sajber napadu na japanske penzione službe, brojne japanske organizacije su počele da uvode mere zaštite. Međutim, članovi Plavog Termita, koji su možda aktivno pratili ovakve promene, počeli su da koriste nove metode napada i uspešno proširili njihovo delovanjeʺ, izjavio je Suguru Išimaru (Suguru Ishimaru), istraživač iz kompanije Kaspersky Lab.
Kako bi se smanjio rizik od infekcije u okviru sajber špijunske kampanje Plavi Termit, stručnjaci iz kompanije Kaspersky Lab preporučuju sledeće:
- Uvek ažurirajte softver, pogotovu onaj koje se često koristi i koji je podložan sajber kriminalu;
- Ako su vam slabosti u sotveru na vašem uređaju poznate, a za njih još uvek ne postoji rešenje, izbegavajte korišćenje tog softvera;
- Oprezno otvarajte i-mejl poruke sa prilozima;
Koristite proverena antivirus rešenja.
Proizvodi kompanije Kaspersky Lab ušpesno detektuju i blokiraju malvere sa sledećim oznakama: Backdoor.Win32.Emdivi.*, Backdoor.Win64.Agent.*, Exploit.SWF.Agent.*, HEUR:Backdoor.Win32.Generic, HEUR:Exploit.SWF.Agent.gen, HEUR:Trojan.Win32.Generic, Trojan-Downloader.Win32.Agent.*, Trojan-Dropper.Win32.Agent.*.