Grupa Sednit, odpowiedzialna za cyberataki ukierunkowane na konkretne kraje Europy Wschodniej i Azji, zadziałała ponownie. Tym razem celem stali się pracownicy ambasad, ministerstw spraw zagranicznych i placówek dyplomatycznych aż 18 krajów, m.in. z Rosji, Egiptu, Korei, Turcji i Urugwaju.
reklama
Jak wskazują eksperci z ESET, to kolejny już atak wspomnianej grupy. Ci sami przestępcy w przeszłości zaatakowali m.in. polską instytucję finansową. Grupa znana również jako APT28, Fancy Bear, Sofacy lub STRONTIUM, swoją działalność rozpoczęła 10 lat temu. Podczas przeprowadzanych ataków targetowanych korzysta z kilku zaawansowanych rodzajów złośliwego oprogramowania, instalowanego w systemie najczęściej poprzez wykorzystanie luk w programie Microsoft Word.
Badacze cyberbezpieczeństwa opisali nowy zestaw zagrożeń grupy Sednit pod nazwą Zebrocy. Jak tłumaczy Kamil Sadkowski, analityk zagrożeń, rodzina szkodliwego oprogramowania o nazwie Zebrocy aktywuje się w momencie otworzenia załącznika z wiadomości e-mail - dokumentu Microsoft Office lub pliku spakowanego do archiwum. Zebrocy składa się z trzech komponentów. Pierwszy z modułów, zaraz po uruchomieniu, odpowiada za zebranie informacji o systemie operacyjnym ofiary. Następnie przesyła je do serwera cyberprzestępców, który opóźnia swoją odpowiedź do kilku godzin, zanim wirus dopuści do kolejnej fazy infekcji. Drugi moduł sprawdza między innymi, czy został uruchomiony w środowisku wirtualnym. Jeśli tak, kończy swoje działanie. Jeśli nie, sprawdza listę uruchomionych programów, wersję systemu operacyjnego, robi zrzuty ekranu oraz pobiera z sieci kolejny złośliwy kod. Ten ostatni komponent jest odpowiedzialny za wykonanie rozkazów cyberprzestępców oraz za przeprowadzenie finalnej infekcji gromadzącej maksymalną ilość informacji o ofiarach ataku.
Do tej pory zaatakowano komputery dyplomatów z Azerbejdżanu, Bośni i Hercegowiny, Egiptu, Gruzji, Iranu, Kazachstanu, Korei, Kirgistanu, Rosji, Arabii Saudyjskiej, Serbii, Szwajcarii, Tadżykistanu, Turcji, Turkmenistanu, Ukrainy, Urugwaju i Zimbabwe. .
Jak wskazuje Kamil Sadkowski, grupa Sednit w przeszłości atakowała wielokrotnie kraje Europy Wschodniej, w tym również Polskę. W 2014 roku przeprowadzono atak, wykorzystując do jego realizacji stronę internetową polskiej instytucji finansowej. Do kodu źródłowego tej strony został wówczas wstrzyknięty specjalny kod, który powodował przekierowanie do złośliwej witryny. Następnie zagrożenie próbowało wykorzystać lukę CVE-2014-1776 w przeglądarce internetowej Internet Explorer, by zainfekować dany komputer. Co ciekawe, miesiąc po tym ataku, grupa obrała za cel maszyny znajdujące się w fizycznie odizolowanych od Internetu sieciach, tzw. ,,air-gapped networks”. Zagrożenie było wymierzone w pojedyncze komputery w sieciach komputerów nie podłączonych do Internetu. Jego celem było uzyskanie dostępu do określonych plików przy użyciu nośnika wymiennego, np. pendrive’a czy dysku przenośnego. Z kolei trzy lata później grupa ponownie zaatakowała, rozsyłając falę wiadomości mailowych do pracowników ministerstwa spraw zagranicznych jednego z europejskich państw. Wiadomości zawierały złośliwy dokument o nazwie „Trump's_Attack_on_Syria_English.docx”, który w odniesieniu do ówczesnej sytuacji politycznej, zachęcał swoją nazwą do otwarcia pliku.
Aby zabezpieczyć się przed tego typu atakami należy aktualizować oprogramowanie w celu załatania podatności, zachować ostrożność podczas otwierania nieznanych załączników, a także wyposażyć swój komputer w oprogramowanie antywirusowe, które chroni przed wirusami i innymi zagrożeniami komputerowymi.
Źródło: ESET
Aktualności
|
Porady
|
Gościnnie
|
Katalog
Bukmacherzy
|
Sprawdź auto
|
Praca
biurowirtualnewarszawa.pl wirtualne biura w Śródmieściu Warszawy
Artykuł może w treści zawierać linki partnerów biznesowych
i afiliacyjne, dzięki którym serwis dostarcza darmowe treści.
*
|
|
|
|
|
|