Operatiunea Ghoul - Un nou grup vizeaza prin atacuri informatice organizatiile din domeniul industrial, inclusiv din Romania

de Vlad Barza     HotNews.ro
Miercuri, 17 august 2016, 15:39 Economie | IT

Victimele operatiunii Ghoul
Foto: Kaspersky
Kaspersky Lab a descoperit un nou val de atacuri impotriva sectoarelor energetic si industrial, in mai multe tari. Folosind e-mail-uri de phishing si programe malware bazate pe un kit de spionaj comercial, gruparea cauta informatii valoroase de business, stocate in retelele victimelor. In total, peste 130 de organizatii din 30 de tari, printre care Spania, Marea Britanie, India, Pakistan, Emiratele Arabe Unite, Germania Arabia Saudita si altele au fost atacate cu succes de acest grup. Romania se afla printre tarile afectate, dar cu un numar mai mic de victime (sub 3), care provin din domeniul industrial.

In iunie 2016, cercetatorii Kaspersky Lab au detectat o serie de e-mail-uri de phishing cu documente infectate. Aceste mesaje au fost trimise, in cea mai mare parte, unor manageri –  inclusiv din top management – din numeroase companii. E-mail-urile atacatorilor pareau sa vina din partea unei banci din Emiratele Arabe Unite: aratau ca niste documente cu informatii despre modalitatile de plata, cu un document SWIFT anexat, dar arhiva continea, de fapt, un program malware.

Investigatiile ulterioare derulate de cercetatorii Kaspersky Lab au aratat ca aceasta campanie a fost organizata, cel mai probabil, de un grup de infractori cibernetici care a fost depistat de expertii companiei inca din martie 2015. Atacurile din iunie par sa fie cea mai recenta operatiune a acestui grup.

Programul malware din attach este bazat pe cel de spionaj comercial HawkEye care este vandut pe Darkweb si ofera o multitudine de instrumente pentru atacatori. Dupa instalare, colecteaza date interesante din PC-urile victimelor, inclusiv:

·    Tastele actionate (“keystrokes”)
·    Datele din clipboard
·    Datele de autentificare pentru servere FTP
·    Date de contabilitate din browsere
·    Date de contabilitate din mesajele clientilor  (Paltalk, Google talk, AIM...)
·    Date de contabilitate din e-mail-urile clientilor  (Outlook, Windows Live mail...)
·    Informatii despre aplicatiile instalate (Microsoft Office)

Aceste informatii sunt trimise catre serverele de comanda si control ale atacatorilor. Conform informatiilor primite de unele dintre aceste servere, majoritatea victimelor sunt organizatii din domeniul industrial si de constructii, iar altele provin din domeniul transporturilor navale sau farmaceutic, sunt companii producatoare si societati comerciale sau organizatii din domeniul educatiei. 

Toate aceste companii detin informatii valoroase care ar putea fi vandute ulterior pe piata neagra – profitul financiar este principala motivatie pentru atacatorii din spatele Operatiunii Ghoul. Numita astfel de cercetatorii Kaspersky Lab, aceasta este doar una dintre mai multe campanii care se presupune ca sunt controlate de acelasi grup, inca activ.

 “In folclor, Ghoul (“strigoi”, “hiena”) este un spirit malefic despre care se crede ca mananca oameni si bantuie copii, la origine fiind un demon din Mesopotamia. Astazi, termenul este uneori folosit pentru a descrie o persoana lacoma sau materialista. Aceasta este o descriere exacta a grupului din spatele Operatiunii Ghoul. Motivatia lor principala este castigul financiar rezultat fie din vanzarea informatiilor furate, fie din atacuri asupra conturilor bancare ale victimelor. Spre deosebire de gruparile sponsorizate de state, care isi aleg victimele cu atentie, acest grup sau altele similare ar putea ataca orice companie. Chiar daca folosesc instrumente malware relativ simple, sunt foarte eficienti, astfel incat companiile care nu sunt pregatite sa detecteze atacurile vor avea de suferit, din pacate”, a spus Mohammad Amin Hasbini, security expert la Kaspersky Lab.


Pentru a se proteja de Operatiunea Ghoul si alte amenintari asemanatoare, cercetatorii Kaspersky Lab recomanda companiilor sa ia urmatoarele masuri:

·    Sa-si instruiasca personalul astfel incat sa poata deosebi un e-mail de phishing sau un link de phishing de cele autentice.
·    Sa foloseasca o solutie de securitate eficienta, impreuna cu solutiile de tip “anti-targeted”, capabile sa identifice atacurile prin analizarea anomaliilor din retea.
·    Sa ofere personalului din domeniul securitatii IT acces la cele mai noi informatii despre amenintari, pentru a avea arme puternice, capabile sa previna atacurile si sa le descopere, cum ar fi indiciile privind compromiterea sistemului si regulile YARA.


Citeste mai multe despre   











[P] Ultimele zile de inscrieri la conferinta RIUF YouForum

Conferinta YouForum are loc la Bucuresti, la Sala Palatului, in perioada 1-2 octombrie si propune elevilor si studentilor sesiuni de discutii, ateliere, seminarii si prezentari ale universitatilor din Romania si din strainatate care au drept scop informarea si orientarea tinerilor cu privire la viitoarele alegeri educationale.
1298 vizualizari
  • +4 (4 voturi)    
    Bu hu hu (Miercuri, 17 august 2016, 16:02)

    mitg [utilizator]

    Ce secrete industriale mai avem noi?

    Romarm produce "armamente" cu tehnologie care n-a mai fost imbunatatita din 1995, directorii acestei companii ii recunosti dupa copii cocalari ai acestora s.a.m.d.

    Iar despre spionajul industrial in mediul privat ce sa mai vorbim, nici macar retetele Anei Aslan nu sunt secrete, fiind publicate in reviste in fiecare luna ...
    • +4 (4 voturi)    
      Nu asta e important (Miercuri, 17 august 2016, 17:10)

      V. Veroiu [utilizator] i-a raspuns lui mitg

      Important este ca nu se face training cu utilizatorii, nu li se explica in limbaj simplu cum se pot proteja si ce sa nu faca. Majoritatea utilizatorilor sunt autodidacti empirici si e doar o chestiune de timp pana cand pica victime, uneori tragand dupa ei o intreaga companie.
    • +1 (1 vot)    
      Profit vs. secrete industriale (Miercuri, 17 august 2016, 21:42)

      CzCa [utilizator] i-a raspuns lui mitg

      E greu de spus ce secrete industriale avem noi acum, dar e mai putin important. Un astfel de atac cu tinte specifice (sa zicem companii mari) are o "coada lunga" de venituri potentiale. In ordine, pot fi: a) informatii cu valoare intrinseca - patente si secrete comerciale, b) informatii cu valoare pentru competitie, c) informatii financiar-contabile exploatabile pentru frauda, d) informatii personale ce permit ulterior atacuri asupra indivizilor "cu valoare". Ce ramane neexploatat se poate vinde pe darkweb, de exemplu seturi de calculatoare controlate (botnets) pentru atacuri de tip DDoS.

      In RO avem multe organizatii specializate si competente, unele publice,altele nu, cred ca ar fi necesar sa faca mai multe campanii de educare a utilizatorilor si administratorilor.


Abonare la comentarii cu RSS

Top 5 articole cele mai ...



Hotnews
Agenţii de ştiri

Siteul Hotnews.ro foloseste cookie-uri. Cookie-urile ne ajută să imbunatatim serviciile noastre. Mai multe detalii, aici.
hosted by
powered by
developed by
mobile version