Operatiunea Ghoul - Un nou grup vizeaza prin atacuri informatice organizatiile din domeniul industrial, inclusiv din Romania

Miercuri, 17 august 2016, 15:39 Economie | IT

Kaspersky Lab a descoperit un nou val de atacuri impotriva sectoarelor energetic si industrial, in mai multe tari. Folosind e-mail-uri de phishing si programe malware bazate pe un kit de spionaj comercial, gruparea cauta informatii valoroase de business, stocate in retelele victimelor. In total, peste 130 de organizatii din 30 de tari, printre care Spania, Marea Britanie, India, Pakistan, Emiratele Arabe Unite, Germania Arabia Saudita si altele au fost atacate cu succes de acest grup. Romania se afla printre tarile afectate, dar cu un numar mai mic de victime (sub 3), care provin din domeniul industrial.

In iunie 2016, cercetatorii Kaspersky Lab au detectat o serie de e-mail-uri de phishing cu documente infectate. Aceste mesaje au fost trimise, in cea mai mare parte, unor manageri –  inclusiv din top management – din numeroase companii. E-mail-urile atacatorilor pareau sa vina din partea unei banci din Emiratele Arabe Unite: aratau ca niste documente cu informatii despre modalitatile de plata, cu un document SWIFT anexat, dar arhiva continea, de fapt, un program malware.

Investigatiile ulterioare derulate de cercetatorii Kaspersky Lab au aratat ca aceasta campanie a fost organizata, cel mai probabil, de un grup de infractori cibernetici care a fost depistat de expertii companiei inca din martie 2015. Atacurile din iunie par sa fie cea mai recenta operatiune a acestui grup.

Programul malware din attach este bazat pe cel de spionaj comercial HawkEye care este vandut pe Darkweb si ofera o multitudine de instrumente pentru atacatori. Dupa instalare, colecteaza date interesante din PC-urile victimelor, inclusiv:

·    Tastele actionate (“keystrokes”)
·    Datele din clipboard
·    Datele de autentificare pentru servere FTP
·    Date de contabilitate din browsere
·    Date de contabilitate din mesajele clientilor  (Paltalk, Google talk, AIM...)
·    Date de contabilitate din e-mail-urile clientilor  (Outlook, Windows Live mail...)
·    Informatii despre aplicatiile instalate (Microsoft Office)

Aceste informatii sunt trimise catre serverele de comanda si control ale atacatorilor. Conform informatiilor primite de unele dintre aceste servere, majoritatea victimelor sunt organizatii din domeniul industrial si de constructii, iar altele provin din domeniul transporturilor navale sau farmaceutic, sunt companii producatoare si societati comerciale sau organizatii din domeniul educatiei. 

Toate aceste companii detin informatii valoroase care ar putea fi vandute ulterior pe piata neagra – profitul financiar este principala motivatie pentru atacatorii din spatele Operatiunii Ghoul. Numita astfel de cercetatorii Kaspersky Lab, aceasta este doar una dintre mai multe campanii care se presupune ca sunt controlate de acelasi grup, inca activ.

 “In folclor, Ghoul (“strigoi”, “hiena”) este un spirit malefic despre care se crede ca mananca oameni si bantuie copii, la origine fiind un demon din Mesopotamia. Astazi, termenul este uneori folosit pentru a descrie o persoana lacoma sau materialista. Aceasta este o descriere exacta a grupului din spatele Operatiunii Ghoul. Motivatia lor principala este castigul financiar rezultat fie din vanzarea informatiilor furate, fie din atacuri asupra conturilor bancare ale victimelor. Spre deosebire de gruparile sponsorizate de state, care isi aleg victimele cu atentie, acest grup sau altele similare ar putea ataca orice companie. Chiar daca folosesc instrumente malware relativ simple, sunt foarte eficienti, astfel incat companiile care nu sunt pregatite sa detecteze atacurile vor avea de suferit, din pacate”, a spus Mohammad Amin Hasbini, security expert la Kaspersky Lab.


Pentru a se proteja de Operatiunea Ghoul si alte amenintari asemanatoare, cercetatorii Kaspersky Lab recomanda companiilor sa ia urmatoarele masuri:

·    Sa-si instruiasca personalul astfel incat sa poata deosebi un e-mail de phishing sau un link de phishing de cele autentice.
·    Sa foloseasca o solutie de securitate eficienta, impreuna cu solutiile de tip “anti-targeted”, capabile sa identifice atacurile prin analizarea anomaliilor din retea.
·    Sa ofere personalului din domeniul securitatii IT acces la cele mai noi informatii despre amenintari, pentru a avea arme puternice, capabile sa previna atacurile si sa le descopere, cum ar fi indiciile privind compromiterea sistemului si regulile YARA.