W październiku 2014 r. badacze z Kaspersky Lab trafili na nieznaną wcześniej próbkę szkodliwego oprogramowania, która wyróżniała się spośród innych swoją złożonością. Dalsza analiza wykazała, że próbka ta stanowi jedynie niewielki element dużej i wyrafinowanej kampanii cyberszpiegowskiej – Blue Termite.

Lista atakowanych branż i instytucji obejmuje: organizacje rządowe, przemysł ciężki, branżę finansową, chemiczną, satelitarną, media, organizacje edukacyjne, branżę spożywczą, organizacje medyczne i inne. Wyniki dochodzenia wskazują, że kampania jest aktywna od około dwóch lat.

Różne techniki infekcji

Osoby stojące za kampanią Blue Termite stosują kilka technik infekowania swoich ofiar. Przed lipcem 2015 r. ugrupowanie to wykorzystywało głównie ukierunkowane e-maile phishingowe (tzw. spear-phishing), czyli wysyłanie szkodliwego oprogramowania jako załącznika do wiadomości e-mail, której treść mogła zwrócić uwagę ofiary. Jednak w lipcu cyberprzestępcy zmienili taktykę i zaczęli rozprzestrzeniać szkodliwe oprogramowanie przy użyciu szkodliwego programu wykorzystującego niezałataną lukę w aplikacji Flash Player (tego samego, który wcześniej tego lata wyciekł w wyniku incydentu związanego z organizacją Hacking Team).

Atakujący zmodyfikowali kilka japońskich stron internetowych, tak aby odwiedzające je osoby automatycznie pobrały szkodliwy kod i zostały zainfekowane. Technika ta nosi nazwę ataku drive-by-download. Odnotowano również próby profilowania ofiar. Jedna ze zmodyfikowanych stron należała do znanego członka japońskiego rządu, inna zawierała szkodliwy skrypt, który odfiltrowywał odwiedzających ze wszystkich adresów IP z wyjątkiem jednego należącego do konkretnej organizacji japońskiej. Innymi słowy, szkodliwa funkcja była dostarczana tylko wybranym użytkownikom.

Unikatowe szkodliwe oprogramowanie dla każdej ofiary

Po udanej infekcji na atakowanej maszynie zostaje zainstalowany wyrafinowany trojan, który daje cyberprzestępcom kontrolę nad komputerem ofiary, a dodatkowo potrafi m.in. kraść hasła, pobierać i instalować dalsze szkodliwe programy i wykonywać polecenia atakujących.

Jednym z najbardziej interesujących aspektów dotyczących szkodliwego oprogramowania wykorzystywanego przez grupę stojącą za kampanią Blue Termite jest to, że każdej ofierze dostarczana jest unikatowa próbka szkodliwego oprogramowania, stworzona w taki sposób, by można było ją uruchomić tylko na określonym komputerze. Według badaczy miało to na celu utrudnienie ekspertom ds. bezpieczeństwa analizowanie i wykrywanie tego szkodnika.

Ślady językowe

Nadal nie wiadomo, kto stoi za opisywanym atakiem. Jak zwykle w przypadku wyrafinowanych cyberataków, zidentyfikowanie osoby odpowiedzialnej jest bardzo skomplikowanym zadaniem. Jednak badacze z Kaspersky Lab zdołali zebrać kilka śladów językowych w kodzie – interfejs graficzny cyberprzestępczego serwera kontroli oraz kilka dokumentów technicznych związanych ze szkodliwym oprogramowaniem wykorzystywanym w operacji Blue Termite napisano w języku chińskim.

– Chociaż Blue Termite nie jest jedyną kampanią cyberszpiegowską, której cele znajdują się w Japonii, jest to pierwsza znana Kaspersky Lab operacja, która koncentruje się ściśle na organizacjach z tego kraju. Incydenty związane z Blue Termite zostały nagłośnione w Japonii na początku czerwca 2015 r., kiedy miał miejsce cyberatak na Japoński Fundusz Emerytalny. Od tego czasu japońskie organizacje zaczęły stosować środki ochrony, jednak cyberprzestępcy zaczęli stosować nowe metody ataków i skutecznie rozszerzyły swój zasięg – komentuje Suguru Ishimaru, badacz ds. bezpieczeństwa IT, Kaspersky Lab.

Szczegóły techniczne dotyczące kampanii cyberszpiegowskiej Blue Termite są już dostępne w serwisie SecureList.pl. Więcej informacji o zaawansowanych zagrożeniach zawiera kronika ataków ukierunkowanych prowadzona przez Kaspersky Lab.

Czytaj także: Kaspersky Lab oskarżony przez byłych pracowników o sabotowanie konkurencji