Apple Facebook Google Microsoft badania bezpieczeństwo patronat DI prawa autorskie serwisy społecznościowe smartfony

Ugrupowanie przestępcze Platinum powraca z przytupem

05-06-2019, 18:30

Wykryto wysoce wyrafinowaną kampanię cyberszpiegowską, której celem była kradzież informacji z placówek dyplomatycznych, rządowych oraz wojskowych w Azji Południowej. Kampania trwała prawie sześć lat i była powiązana z innymi atakami wykrytymi niedawno w tym regionie.

Specjaliści z zakresu cyberbezpieczeństwa przestrzegają o zagrożeniach związanych ze steganografią już od jakiegoś czasu. Technika ta polega na przesyłaniu danych w ukrytej postaci, przy czym maskowany jest sam fakt przesyłania danych. Pod tym względem metoda różni się od kryptografii, w której ukrywane są wyłącznie dane. Dzięki steganografii ugrupowania cyberszpiegowskie mogą pozostać w zainfekowanym systemie przez długi czas bez wzbudzania podejrzeń. Taką metodę wykorzystało ugrupowanie Platinum atakujące rządy i powiązane organizacje w Azji Południowej i Południowo-Wschodniej, którego ostatnia znana aktywność została odnotowana w 2017 roku.

W przypadku wykrytej niedawno operacji, polecenia szkodliwego oprogramowania zostały osadzone w kodzie HTML strony internetowej. Tabulatory i spacje nie mają wpływu na to, jak kod HTML przekłada się na zawartość strony internetowej, dlatego cyberprzestępcy zakodowali polecenia przy użyciu określonej sekwencji tych dwóch znaków. W efekcie polecenia były prawie niemożliwe do wykrycia w ruchu sieciowym, ponieważ szkodliwe oprogramowanie wydawało się jedynie uzyskiwać dostęp do strony, która nie wzbudzała podejrzeń i pozostawała niezauważalna w ogólnym ruchu.

W celu wykrycia szkodliwego oprogramowania badacze musieli sprawdzić programy, które potrafiły przesyłać pliki na urządzenie. Okazało się, że jeden z nich wykazywał nietypowe zachowanie – uzyskiwał dostęp do usługi w chmurze publicznej Dropbox i został tak zaprogramowany, aby działać jedynie w określonych godzinach. Jak zorientowali się później specjaliści, miało to na celu ukrycie aktywności szkodliwego oprogramowania wśród procesów uruchamianych w standardowych godzinach pracy, kiedy jego zachowanie nie wzbudza podejrzeń. W rzeczywistości, szkodliwy moduł zbierał i wysyłał dane oraz pliki na i z zainfekowanego urządzenia.

Aleksiej Szulmin, badacz ds. cyberbezpieczeństwa z firmy Kaspersky, zauważa, że dotychczasowe kampanie ugrupowania Platinum były wyrafinowane i precyzyjnie wykonane. To samo cechuje szkodliwe oprogramowanie wykorzystane w omawianym ataku – oprócz steganografii szkodnik stosuje inne metody, które pozwoliły mu uniknąć wykrycia przez długi czas. Potrafi on na przykład przesyłać polecenia nie tylko z centrum sterowania, ale również z jednej zainfekowanej maszyny na drugą. W ten sposób cyberugrupowanie mogło zainfekować nawet te urządzenia, które nie były połączone z internetem, jednak działały w ramach tej samej sieci wewnętrznej. Działanie cybergangów wykorzystujących steganografię, takich jak PLATINUM, oznacza, że zaawansowane zagrożenia unikają wykrycia, stosując coraz bardziej wyrafinowane metody, o czym powinni pamiętać dostawcy ochrony, tworząc swoje rozwiązania bezpieczeństwa.

Źródło: Kaspersky


Aktualności | Porady | Gościnnie | Katalog
Bukmacherzy | Sprawdź auto | Praca


Artykuł może w treści zawierać linki partnerów biznesowych
i afiliacyjne, dzięki którym serwis dostarcza darmowe treści.

              *              



Ostatnie artykuły:

fot. HONOR








fot. Freepik



fot. ING