Ugrupowanie przestępcze Platinum powraca z przytupem

05-06-2019, 18:30

Wykryto wysoce wyrafinowaną kampanię cyberszpiegowską, której celem była kradzież informacji z placówek dyplomatycznych, rządowych oraz wojskowych w Azji Południowej. Kampania trwała prawie sześć lat i była powiązana z innymi atakami wykrytymi niedawno w tym regionie.

Specjaliści z zakresu cyberbezpieczeństwa przestrzegają o zagrożeniach związanych ze steganografią już od jakiegoś czasu. Technika ta polega na przesyłaniu danych w ukrytej postaci, przy czym maskowany jest sam fakt przesyłania danych. Pod tym względem metoda różni się od kryptografii, w której ukrywane są wyłącznie dane. Dzięki steganografii ugrupowania cyberszpiegowskie mogą pozostać w zainfekowanym systemie przez długi czas bez wzbudzania podejrzeń. Taką metodę wykorzystało ugrupowanie Platinum atakujące rządy i powiązane organizacje w Azji Południowej i Południowo-Wschodniej, którego ostatnia znana aktywność została odnotowana w 2017 roku.

W przypadku wykrytej niedawno operacji, polecenia szkodliwego oprogramowania zostały osadzone w kodzie HTML strony internetowej. Tabulatory i spacje nie mają wpływu na to, jak kod HTML przekłada się na zawartość strony internetowej, dlatego cyberprzestępcy zakodowali polecenia przy użyciu określonej sekwencji tych dwóch znaków. W efekcie polecenia były prawie niemożliwe do wykrycia w ruchu sieciowym, ponieważ szkodliwe oprogramowanie wydawało się jedynie uzyskiwać dostęp do strony, która nie wzbudzała podejrzeń i pozostawała niezauważalna w ogólnym ruchu.

W celu wykrycia szkodliwego oprogramowania badacze musieli sprawdzić programy, które potrafiły przesyłać pliki na urządzenie. Okazało się, że jeden z nich wykazywał nietypowe zachowanie – uzyskiwał dostęp do usługi w chmurze publicznej Dropbox i został tak zaprogramowany, aby działać jedynie w określonych godzinach. Jak zorientowali się później specjaliści, miało to na celu ukrycie aktywności szkodliwego oprogramowania wśród procesów uruchamianych w standardowych godzinach pracy, kiedy jego zachowanie nie wzbudza podejrzeń. W rzeczywistości, szkodliwy moduł zbierał i wysyłał dane oraz pliki na i z zainfekowanego urządzenia.

Aleksiej Szulmin, badacz ds. cyberbezpieczeństwa z firmy Kaspersky, zauważa, że dotychczasowe kampanie ugrupowania Platinum były wyrafinowane i precyzyjnie wykonane. To samo cechuje szkodliwe oprogramowanie wykorzystane w omawianym ataku – oprócz steganografii szkodnik stosuje inne metody, które pozwoliły mu uniknąć wykrycia przez długi czas. Potrafi on na przykład przesyłać polecenia nie tylko z centrum sterowania, ale również z jednej zainfekowanej maszyny na drugą. W ten sposób cyberugrupowanie mogło zainfekować nawet te urządzenia, które nie były połączone z internetem, jednak działały w ramach tej samej sieci wewnętrznej. Działanie cybergangów wykorzystujących steganografię, takich jak PLATINUM, oznacza, że zaawansowane zagrożenia unikają wykrycia, stosując coraz bardziej wyrafinowane metody, o czym powinni pamiętać dostawcy ochrony, tworząc swoje rozwiązania bezpieczeństwa.

Źródło: Kaspersky


Źródło: materiał nadesłany do redakcji
  
znajdź w serwisie

RSS - Wywiad
Wywiad  
RSS - Interwencje
RSS - Porady
Porady  
RSS - Listy
Listy  
« Lipiec 2019»
PoWtŚrCzwPtSbNd
1234567
891011121314
15161718192021
22232425262728
293031