Placówki dyplomatyczne i ambasady w 18 krajach zaatakowane przez cyberprzestępców

25-04-2018, 11:28

Grupa Sednit, odpowiedzialna za cyberataki ukierunkowane na konkretne kraje Europy Wschodniej i Azji, zadziałała ponownie. Tym razem celem  stali się pracownicy ambasad, ministerstw spraw zagranicznych i placówek dyplomatycznych aż 18 krajów, m.in. z Rosji, Egiptu, Korei, Turcji i Urugwaju.

Jak wskazują eksperci z ESET, to kolejny już atak wspomnianej grupy. Ci sami przestępcy w przeszłości zaatakowali m.in. polską instytucję finansową. Grupa znana również jako APT28, Fancy Bear, Sofacy lub STRONTIUM, swoją działalność rozpoczęła 10 lat temu. Podczas przeprowadzanych ataków targetowanych korzysta z kilku zaawansowanych rodzajów złośliwego oprogramowania, instalowanego w systemie najczęściej poprzez wykorzystanie luk w programie Microsoft Word.

Zebrocy – nowe zagrożenie od grupy Sednit

Badacze cyberbezpieczeństwa opisali nowy zestaw zagrożeń grupy Sednit pod nazwą Zebrocy. Jak tłumaczy Kamil Sadkowski, analityk zagrożeń, rodzina szkodliwego oprogramowania o nazwie Zebrocy aktywuje się w momencie otworzenia załącznika z wiadomości e-mail - dokumentu Microsoft Office lub pliku spakowanego do archiwum. Zebrocy składa się z trzech komponentów. Pierwszy z modułów, zaraz po uruchomieniu, odpowiada za zebranie informacji o systemie operacyjnym ofiary. Następnie przesyła je do serwera cyberprzestępców, który opóźnia swoją odpowiedź do kilku godzin, zanim wirus dopuści do kolejnej fazy infekcji. Drugi moduł sprawdza między innymi, czy został uruchomiony w środowisku wirtualnym. Jeśli tak, kończy swoje działanie. Jeśli nie, sprawdza listę uruchomionych programów, wersję systemu operacyjnego, robi zrzuty ekranu oraz pobiera z sieci kolejny złośliwy kod. Ten ostatni komponent jest odpowiedzialny za wykonanie rozkazów cyberprzestępców oraz za przeprowadzenie finalnej infekcji gromadzącej maksymalną ilość informacji o ofiarach ataku.

Do tej pory zaatakowano komputery dyplomatów z Azerbejdżanu, Bośni i Hercegowiny, Egiptu, Gruzji, Iranu, Kazachstanu, Korei, Kirgistanu, Rosji, Arabii Saudyjskiej, Serbii, Szwajcarii, Tadżykistanu, Turcji, Turkmenistanu, Ukrainy, Urugwaju i Zimbabwe. .

Grupa Sednit w przeszłości zaatakowała również Polskę

Jak wskazuje Kamil Sadkowski, grupa Sednit w przeszłości atakowała wielokrotnie kraje Europy Wschodniej, w tym również Polskę. W 2014 roku przeprowadzono atak, wykorzystując do jego realizacji stronę internetową polskiej instytucji finansowej. Do kodu źródłowego tej strony został wówczas wstrzyknięty specjalny kod, który powodował przekierowanie do złośliwej witryny. Następnie zagrożenie próbowało wykorzystać lukę CVE-2014-1776 w przeglądarce internetowej Internet Explorer, by zainfekować dany komputer. Co ciekawe, miesiąc po tym ataku, grupa obrała za cel maszyny znajdujące się w fizycznie odizolowanych od Internetu sieciach, tzw. ,,air-gapped networks”. Zagrożenie było wymierzone w pojedyncze komputery w sieciach komputerów nie podłączonych do Internetu. Jego celem było uzyskanie dostępu do określonych plików przy użyciu nośnika wymiennego, np. pendrive’a czy dysku przenośnego. Z kolei trzy lata później grupa ponownie zaatakowała, rozsyłając falę wiadomości mailowych do pracowników ministerstwa spraw zagranicznych jednego z europejskich państw. Wiadomości zawierały złośliwy dokument o nazwie „Trump's_Attack_on_Syria_English.docx”, który w odniesieniu do ówczesnej sytuacji politycznej, zachęcał swoją nazwą do otwarcia pliku.

Aby zabezpieczyć się przed tego typu atakami należy aktualizować oprogramowanie w celu załatania podatności, zachować ostrożność podczas otwierania nieznanych załączników, a także wyposażyć swój komputer w oprogramowanie antywirusowe, które chroni przed wirusami i innymi zagrożeniami komputerowymi.

Źródło: ESET


Źródło: materiał nadesłany do redakcji
  
znajdź w serwisie

RSS - Wywiad
Wywiad  
RSS - Interwencje
RSS - Porady
Porady  
RSS - Listy
Listy  
« Październik 2018»
PoWtŚrCzwPtSbNd
1234567
891011121314
15161718192021
22232425262728
293031 
Jak czytać DI?
Newsletter

Podaj teraz tylko e-mail!



RSS
Copyright © 1998-2018 by Dziennik Internautów Sp. z o.o. (GRUPA INFOR PL) Wszelkie prawa zastrzeżone.