Security

Οι ερευνητές της ασφάλειας από την Trend Micro έχουν αποκαλύψει μια ενεργό επιχείρηση κυπριακής διαφθοράς που μέχρι στιγμής έχει υπονομεύσει υπολογιστές που ανήκουν σε κυβερνητικά υπουργεία, τεχνολογικές εταιρείες, ερευνητικά ιδρύματα και μη κυβερνητικές οργανώσεις από περισσότερες από 100 χώρες.

Η επιχείρηση, την οποία η Trend Micro έχει ονομάσει Safe, στοχεύει σε πιθανά θύματα χρησιμοποιώντας μηνύματα ηλεκτρονικού ψαρέματος με δόλωμα με κακόβουλα συνημμένα. Οι ερευνητές της εταιρείας έχουν διερευνήσει τη λειτουργία και δημοσίευσαν ένα ερευνητικό έγγραφο με τα ευρήματά τους την Παρασκευή

Δύο τακτικές εντοπίστηκαν

Η έρευνα αποκάλυψε δύο σετ εντολών και ελέγχου (C & C) servers που χρησιμοποιούνται για δύο

[Περαιτέρω ανάγνωση: Τρόπος κατάργησης κακόβουλου λογισμικού από τον υπολογιστή σας Windows]

Μία καμπάνια χρησιμοποιεί ηλεκτρονικά μηνύματα ηλεκτρονικού "phishing" με περιεχόμενο που σχετίζεται με το Θιβέτ και τη Μογγολία. Αυτά τα μηνύματα ηλεκτρονικού ταχυδρομείου έχουν συνημμένα αρχείου.doc που εκμεταλλεύονται ένα θέμα ευπάθειας του Microsoft Word, το οποίο διοχέτευσε η Microsoft τον Απρίλιο του 2012.

Τα αρχεία καταγραφής πρόσβασης που συλλέχθηκαν από τους διακομιστές C & C αυτής της καμπάνιας αποκάλυψαν συνολικά 243 μοναδικές διευθύνσεις IP (Internet Protocol) θύματα από 11 διαφορετικές χώρες. Ωστόσο, οι ερευνητές βρήκαν μόνο τρία θύματα που εξακολουθούσαν να είναι ενεργά τη στιγμή της έρευνας τους, με διευθύνσεις IP από τη Μογγολία και το Νότιο Σουδάν.

Οι διακομιστές C & C που αντιστοιχούσαν στη δεύτερη εκστρατεία επίθεσης καταγράφηκαν 11.563 μοναδικές διευθύνσεις IP θυμάτων από 116 διαφορετικές χώρες, αλλά ο πραγματικός αριθμός θυμάτων πιθανόν να είναι πολύ χαμηλότερος, ανέφεραν οι ερευνητές. Κατά μέσο όρο, 71 θύματα επικοινωνούσαν ενεργά με αυτό το σύνολο των εξυπηρετητών C & C σε οποιαδήποτε στιγμή κατά τη διάρκεια της έρευνας.

Τα μηνύματα επίθεσης που χρησιμοποιήθηκαν στη δεύτερη εκστρατεία επίθεσης δεν έχουν εντοπιστεί, αλλά η εκστρατεία φαίνεται να είναι μεγαλύτερη πεδίο εφαρμογής και τα θύματα ευρύτερα γεωγραφικά διασκορπισμένα. Οι κορυφαίες πέντε χώρες από τον αριθμό των θυμάτων IP είναι η Ινδία, οι ΗΠΑ, η Κίνα, το Πακιστάν, οι Φιλιππίνες και η Ρωσία.

Malware σε μια αποστολή

Το κακόβουλο λογισμικό που έχει εγκατασταθεί στους μολυσμένους υπολογιστές σχεδιάστηκε κατά κύριο λόγο για να κλέψει πληροφορίες η λειτουργικότητά του μπορεί να βελτιωθεί με πρόσθετες ενότητες. Οι ερευνητές βρήκαν πρόσθετα εξαρτήματα ειδικού σκοπού στους διακομιστές εντολών και ελέγχου καθώς και προγράμματα που δεν μπορούν να χρησιμοποιηθούν για την εξαγωγή αποθηκευμένων κωδικών πρόσβασης από τον Internet Explorer και τον Mozilla Firefox, καθώς και τα διαπιστευτήρια του Remote Desktop Protocol που είναι αποθηκευμένα σε Παρά το γεγονός ότι ο καθορισμός της πρόθεσης και της ταυτότητας των εισβολέων παραμένει δύσκολο να εξακριβωθεί, αποφασίσαμε ότι η καμπάνια "Ασφαλείς" στοχεύει και χρησιμοποιεί κακόβουλο λογισμικό που αναπτύχθηκε από έναν επαγγελματία μηχανικό λογισμικού που μπορεί να συνδεθεί με τον υπόδημα στον κυβερνοχώρο της Κίνας " σύμφωνα με τους ερευνητές της Trend Micro. "Αυτό το άτομο σπούδασε σε ένα εξέχον τεχνικό πανεπιστήμιο στην ίδια χώρα και φαίνεται να έχει πρόσβαση σε ένα αποθετήριο πηγαίου κώδικα της εταιρείας παροχής υπηρεσιών Internet."

Οι φορείς εκμετάλλευσης των εξυπηρετητών C & C τους έχουν πρόσβαση σε διευθύνσεις IP σε πολλές χώρες, Κίνα και Χονγκ Κονγκ, ανέφεραν οι ερευνητές της Trend Micro. "Είδαμε επίσης τη χρήση των VPN και των εργαλείων πληρεξουσίων, συμπεριλαμβανομένου του Tor, ο οποίος συνέβαλε στη γεωγραφική ποικιλομορφία των διευθύνσεων IP των φορέων εκμετάλλευσης."

Το άρθρο ενημερώθηκε στις 9:36 πμ PT για να δείξει ότι η Trend Micro άλλαξε το όνομα τη λειτουργία cyberespionage που αποτέλεσε αντικείμενο της ιστορίας και τη σχέση με την ερευνητική της έκθεση.