Kaspersky Lab a descoperit un atac informatic neobisnuit: doua grupuri infractionale cibernetice s-au luptat ca-n "Razboiul Stelelor"

de Vlad Barza     HotNews.ro
Joi, 16 aprilie 2015, 16:05 Economie | IT

Atacul Hellsing
Foto: Kaspersky
Expertii Kaspersky Lab au descoperit un atac cibernetic rar si neobisnuit, in care un infractor cibernetic a vizat un alt infractor cibernetic. Compania considera ca acest tip de atac marcheaza o noua directie in activitatile de criminalitate cibernetica. „Acest atac Hellsing impotriva grupului Naikon, ce se aseamana cu un fel de razbunare de tipul Razboiul Stelelor – Imperiul Contraataca, este fascinant,” spune Costin Raiu, directorul echipei globale de Cecetare si Analiza la Kaspersky.

In 2014, Hellsing, un grup de spionaj cibernetic restrans si simplist din punct de vedere al tehnicilor utilizate, care viza in general organizatii guvernamentale si diplomatice din Asia, a fost tinta a unui atac de tip spear-phishing demarat de o alta grupare de infractori cibernetici, la care a raspuns ulterior.

Expertii Kaspersky Lab considera ca acest tip de atac marcheaza o noua directie in activitatile de criminalitate cibernetica: razboaiele APT (Advanced Persistent Threat).

Expertii Kaspersky Lab au facut aceasta descoperire in timpul cercetarii activitatilor demarate de Naikon, alt grup de spionaj cibernetic care viza tot organizatii din regiunea Asia-Pacific. Cei de la  Kaspersky Lab au descoperit ca una dintre tintele Naikon a descoperit tentativa de infectare a sistemului prin intermediul unui e-mail de tip spear-phishing, care continea fisiere periculoase.

Tinta a fost reticenta cu privire la autenticitatea e-mail-ului si a raspunsului primit si nu a deschis fisierul atasat. La scurt timp dupa, tinta a trimis un e-mail inapoi catre adresa de la care primise mesajul, cu acelasi fisier malware atasat. Aceasta actiune a atras atentia expertilor Kaspersky Lab, care au pornit o cercetare ce a dus la descoperirea grupului APT Hellsing.

Metoda de contra-atac indica faptul ca Hellsing a vrut sa identifice grupul Naikon si sa colecteze informatii despre acesta.  O analiza mai amanuntita a gruparii Hellsing indica folosirea mai multor e-mail-uri de tip spear-phishing, create sa distribuie fisiere malware in diverse organizatii, pentru a le spiona. In momentul in care victima accesa fisierul, sistemul se infecta cu un backdoor care putea descarca si incarca fisiere, si care se putea actualiza si ulterior dezinstala automat. Conform descoperirilor expertilor Kaspersky Lab, numarul organizatiilor vizate de Hellsing pana in prezent este de aproape 20.

Tintele Hellsing


Solutiile Kaspersky Lab au detectat si au blocat malware-ul Hellsing in Malaezia, Filipine, India, Indonezia si SUA, cele mai multe victime fiind localizate in Malaezia si Filipine. Atacatorii sunt foarte selectivi in ceea ce priveste tipul de organizatie atacata, incercand sa infecteze in principal entitati guvernamentale si diplomatice.

„Acest atac Hellsing impotriva grupului Naikon, ce se aseamana cu un fel de razbunare de tipul Razboiul Stelelor – Imperiul Contraataca, este fascinant,” a comentat Costin Raiu, Director Global Research and Analysis Team (GReAT) in cadrul Kaspersky Lab. „In trecut, am vazut si alte grupuri APT care se atacau reciproc accidental, atunci cand furau adrese de contact si distribuiau e-mail-uri in masa. Insa, acum, luand in considerare tinta si originile atacului, este mai probabil ca acesta este un atac de tipul APT contra APT deliberat,” a explicat Costin Raiu.

Conform analizei Kaspersky Lab, gruparea Hellsing este activa cel putin din 2012.

Protectie

Expertii Kaspersky Lab recomanda utilizatorilor sa adopte urmatoarele masuri pentru a se proteja de atacurile Hellsing:
 ·    Sa nu acceseze fisiere periculoase primite de la utilizatori necunoscuti;
 ·    Sa fie atenti la arhivele protejate cu parola care contin fisiere de tip SCR sau alte fisiere executabile;
 ·    Daca nu sunt siguri de securitatea fisierului, sa il deschida in sandbox;
 ·    Sa se asigure ca folosesc un sistem de operare actualizat;
 ·    Sa actualizeze toate aplicatiile de tipul Microsoft Office, Java, Adobe Flash Player si Adobe Reader.
Produsele Kaspersky


Citeste mai multe despre   











[P] JYSK Romania plateste 15 lei / zi pentru tichetele de masa ale angajatilor sai

JYSK Romania, parte a grupului scandinav JYSK Nordic, unul dintre cei mai mari retaileri de mobilier si decoratiuni interioare din Europa, a majorat, incepand cu data de 1 decembrie 2016, valoarea tichetelor de masa acordate angajatilor sai. Astfel, valoarea nominala a unui tichet de masa a ajuns la 15 lei, suma maxima prevazuta de lege.
14588 vizualizari
  • +5 (7 voturi)    
    Toate bune si frumoase (Joi, 16 aprilie 2015, 16:12)

    sile [anonim]

    Dar de unde are Kaspersky (altfel autori ai unui produs de top in domeniul lor) capacitatea sa urmareasca la nivelul asta traficul pe internet? Recunosc ca n-am nicio idee de ce implica "descoperirea" unui asemenea atac.
    • +2 (2 voturi)    
      Log (Joi, 16 aprilie 2015, 18:48)

      Asmodeu [anonim] i-a raspuns lui sile

      Cel mai probabil informațiile sunt luate din log-urile antivirusului (instalat fie pe stații, fie pe serverul de email).

      PS: la asta foloseste bifa aia cu "allow sending of info to help us improve our product".

      PPS: Nu are nimeni din sectorul privat capabilitati de urmarire a traficului propriu-zis, pentru simplul fapt ca o solutie e foarte scumpa, ai nevoie de acces pe care nu ti-l da nimeni fara ordine judecatoresti etc. Si pana la urma pentru ce anume ar avea nevoie de asa ceva o firma privata? Clientii pentru astfel de informatii (statele mari) au deja sisteme puse la punct (care functioneaza si nu prea, pentru ca trebuie enorm de mult personal care sa verifice datele chiar daca-s filtrate dupa cuvinte cheie).
  • +2 (4 voturi)    
    Contra-atac fara contact? (Joi, 16 aprilie 2015, 17:09)

    Canadian13 [utilizator]

    Intreb si eu ca un profan, cinvea in domeniu poate sa ma lamureasca ? Cum poti sa forwardezi un e-mail fara sa interactionezi cu fisierul din attach. Ma gandesc ca il plimbi pe serverul tau de e-mail, are o interactiune cu el, nu ? Bine, nu il deschizi, nu il executi, asta este clar, nici nu se pune problema, adica trebuie sa fii prost rau sa deschizi un fisier de la neagica@da-mi_banii_tai_fraiere.com
    Dar fara sa atingi fisierul, daca il forwrdezi numai, nu reprezinta un danger ptr sistemul tau ?

    Intreb si eu, cei care sunteti de specialitate nu dati cu pietre, ca se poarta :)
    • +3 (3 voturi)    
      ... (Joi, 16 aprilie 2015, 19:13)

      Asmodeu [anonim] i-a raspuns lui Canadian13

      Pe scurt: daca ai un antivirus (sau clientul de email are HTML/JS pe disabled; ceea ce se cam intampla la toti clientii de email mai recent) nu e niciun pericol.

      Daca te intereseaza problema asta mai departe cauta "drive by email".
    • +1 (1 vot)    
      raspunsuri (Vineri, 17 aprilie 2015, 9:20)

      dragos [anonim] i-a raspuns lui Canadian13

      Nu inteleg exact intrebarea ta. In momentul in care il forwardezi nu il deschizi, dar daca serverul de email are un antivirus integrat care scaneaza atunci are loc o interactiune. De asemenea poti avea tu local un antivirus care sa interactioneze cu atasamentul(desinfectie/stergere etc).

      Daca vrei sa il faci imun la astfel de interactiuni si daca am inteles bine intrebarea ta, poti sa dezactivezi antivirusul local daca ai, sa arhivezi cu parola atasamentul si sa-l trimiti mai departe. Odata arhivat cu parola nici un antivirus nu va putea sa ii faca ceva. Poti eventual sa incluzi parola in corpul emailului.

      Ca sa raspund la a doua intrebare: daca il forwardezi nu se intampla nimica cu sistemul tau pentru ca nu il rulezi. Poti sa il si salvezi inafara clientului de email si din nou nu se intampla nimica, atata timp ca nu il rulezi! Aici pot avea loc cateva exceptii: daca ai deja malware in computer care ruleaza automat atasamente infectate din email, dar nu prea am auzit de asa ceva si probabil e extrem de rar.

      Dar in cazurile obisnuite nu.

      Pe serverul de email interactiunea are loc doar daca e un antivirus care scaneaza automat mailurile, altfel serverul de email nu se apuca sa ruleze atasamente, nici nu stiu daca e macar posibil asa ceva. Si indiferent cati virusi trec printr-un server de email, acesta nu pateste nimica. Rolul lui este sa livreze, primeasca emailuri, nu sa ruleze atasamente.

      Ca sa pateasca ceva serverul de email(la serviciu ma refer) trebuie ca o vulnerabilitate a lui in sine sa fie exploatata, ceea ce nu e simplu deloc.
      • 0 (0 voturi)    
        Thx (Sâmbătă, 18 aprilie 2015, 1:35)

        Canadian13 [utilizator] i-a raspuns lui dragos

        @IonMoldovan 1 & Dragos : Merci !
  • -4 (4 voturi)    
    cred (Joi, 16 aprilie 2015, 23:44)

    xanti [utilizator]

    Ca s-au batut rusii cu chinezii pe tehnologia de varf romaneasca cum spunea Maior.
    • +3 (5 voturi)    
      Poate, dar in nici un caz (Vineri, 17 aprilie 2015, 9:42)

      Bogdan_100 [utilizator] i-a raspuns lui xanti

      nu s-au batut pe inteligenta unora ca tine. Postarea ta e cu atat mai inepta cu cat in domeniul tehnologiilor antivirus Romania chiar e in zona de varf - Microsoft a cumparat tehnologie antivirus din Romania; BitDefender e folosit cu succes in SUA si Japonia, etc. Dar la voi la crasma lucrurile astea ajung mai greu.
  • -1 (1 vot)    
    Kaspersky (Vineri, 17 aprilie 2015, 9:10)

    Primul [utilizator]

    Nu are cumva sediul principal in Moscova?
    Nah...mai instalati-va antivirusi de "top" rusesti
  • 0 (2 voturi)    
    Kaspersky o companie a FSB (Vineri, 17 aprilie 2015, 11:13)

    georgio [anonim]

    http://www.bloomberg.com/news/articles/2015-03-19/cybersecurity-kaspersky-has-close-ties-to-russian-spies


Abonare la comentarii cu RSS





ESRI

Top 5 articole cele mai ...



Hotnews
Agenţii de ştiri

Siteul Hotnews.ro foloseste cookie-uri. Cookie-urile ne ajută să imbunatatim serviciile noastre. Mai multe detalii, aici.
hosted by
powered by
developed by
mobile version
Miercuri