Adwind: Έπληξε πάνω από 400.000 χρήστες και οργανισμούς παγκοσμίως

by George Polyzos • On 10-02-2016 • AT 10:16 am • ΚΑΝΕΝΑ ΣΧΟΛΙΟ
Internet

Η Kaspersky Lab δημοσίευσε εκτενή έρευνα σχετικά με το Εργαλείο Απομακρυσμένης Πρόσβασης (RAT) Adwind, ένα πολυλειτουργικό κακόβουλο πρόγραμμα που επηρεάζει πολλαπλές πλατφόρμες.

Το πρόγραμμα αυτό είναι επίσης γνωστό και ως AlienSpy, Frutas, Unrecom, Sockrat, JSocket και jRat και διανέμεται μέσω μίας πλατφόρμας “Malware-as-a-Service”. Σύμφωνα με τα ευρήματα της έρευνας, η οποία πραγματοποιήθηκε μεταξύ 2013 και 2016, διαφορετικές εκδόσεις του κακόβουλου προγράμματος Adwind έχουν χρησιμοποιηθεί σε επιθέσεις κατά τουλάχιστον 443.000 χρηστών, επιχειρήσεων και μη εμπορικών οργανισμών ανά τον κόσμο. Η πλατφόρμα και το κακόβουλο λογισμικό είναι ακόμα ενεργά.

Στα τέλη του 2015, οι ερευνητές της Kaspersky Lab έλαβαν γνώση για ένα ασυνήθιστο κακόβουλο πρόγραμμα, το οποίο είχε ανακαλυφθεί κατά τη διάρκεια μιας απόπειρας στοχευμένης επίθεσης εναντίον μιας τράπεζας στη Σιγκαπούρη. Ένα κακόβουλο αρχείο JAR ήταν συνημμένο σε ένα spear-phishing email που στάλθηκε σε υπάλληλο της τράπεζας. Οι πλούσιες δυνατότητες του κακόβουλου λογισμικού, συμπεριλαμβανομένης της ικανότητα να «τρέχει» σε πολλαπλές πλατφόρμες, καθώς και το γεγονός ότι δεν εντοπίστηκε από οποιαδήποτε λύση antivirus, τράβηξαν αμέσως την προσοχή των ερευνητών.

Kaspersky Lab_Adwind timeline

Το Adwind RAT
Αποδείχτηκε ότι ο οργανισμός είχε δεχτεί επίθεση από το Adwind RAT, ένα backdoor πρόγραμμα που ήταν διαθέσιμο για αγορά και «γραμμένο» εξολοκλήρου σε γλώσσα Java, στοιχεία που το καθιστούν ικανό να επηρεάζει και να λειτουργεί σε πολλαπλές πλατφόρμες.

Το συγκεκριμένο πρόγραμμα μπορεί να «τρέξει» σε πλατφόρμες με λειτουργικό Windows, OSX, Linux και Android, παρέχοντας δυνατότητες για απομακρυσμένο έλεγχο της επιφάνειας εργασίας, συλλογή δεδομένων, εκδιήθηση δεδομένων κ.α. Αν ο χρήστης-στόχος ανοίξει το συνημμένο αρχείο JAR, το κακόβουλο πρόγραμμα αυτο-εγκαθίσταται και προσπαθεί να επικοινωνήσει με τον command and control server.

Kaspersky Lab_Adwind timeline_2

Στη λίστα με τις λειτουργίες του κακόβουλου λογισμικού περιλαμβάνονται δυνατότητες για:
• Υποκλοπή πληκτρολογήσεων
• Υποκλοπή προσωρινά αποθηκευμένων κωδικών πρόσβασης και δεδομένων από onlineφόρμες
• Λήψη screenshots
• Λήψη φωτογραφιών και καταγραφή βίντεο μέσω webcam
• Ηχογράφηση μέσω μικροφώνου
• Μεταφορά φακέλων
• Συλλογή γενικών πληροφοριών για σύστημα και χρήστη
• Υποκλοπή κλειδιών για πορτοφόλια ηλεκτρονικών νομισμάτων
• Διαχείριση μηνυμάτων SMS (για Android πλατφόρμες)
• Κλοπή πιστοποιητικών δικτύων VPN

Παρότι χρησιμοποιείται κυρίως από επιτιθέμενους που ενεργούν καιροσκοπικά και διανέμεται σε μαζικές εκστρατείες spam, υπάρχουν περιπτώσεις όπου το Adwind χρησιμοποιήθηκε σε στοχευμένες επιθέσεις. Τον Αύγουστο του 2015, αναφορές στο Adwind βρέθηκαν σε δημοσιεύματα που αφορούσαν μια υπόθεση ψηφιακής κατασκοπείας εναντίον ενός Αργεντινού εισαγγελέα, ο οποίος εν τέλει βρέθηκε νεκρός τον Ιανουάριο του 2015. Το περιστατικό κατά της τράπεζας στην Σιγκαπούρη ήταν άλλο ένα παράδειγμα στοχευμένης επίθεσης. Μια βαθύτερη ματιά σε γεγονότα που σχετίζονται με τη χρήση του Adwind RAT έδειξε ότι αυτές οι στοχευμένες επιθέσεις δεν ήταν οι μόνες.

Οι στόχοι
Κατά τη διάρκεια της έρευνας, οι ειδικοί της Kaspersky Lab κατάφεραν να αναλύσουν σχεδόν 200 παραδείγματα επιθέσεων spear-phishing, οι οποίες οργανώθηκαν από άγνωστους εγκληματίες, με στόχο την εξάπλωση του κακόβουλου λογισμικού Adwind. Επίσης, μπόρεσαν να προσδιορίσουν τους κλάδους για τους οποίους εργάζονταν οι περισσότεροι από τους στόχους.

Η σχετική λίστα περιλαμβάνει επιχειρήσεις από τη βιομηχανία, τις χρηματοοικονομικές υπηρεσίες, τη μηχανική και το design, το λιανεμπόριο, κρατικούς φορείς, ναυτιλιακές επιχειρήσεις, παρόχους τηλεπικοινωνιών, εταιρείες λογισμικού, εκπαιδευτικούς οργανισμούς, εταιρείες τροφίμων, παραγωγής και υγειονομικής περίθαλψης, Μέσα Μαζικής Ενημέρωσης και επιχειρήσεις ενέργειας.

Με βάση πληροφορίες που προέρχονται από το Kaspersky Security Network, τα 200 παραδείγματα επιθέσεων spear-phishing που παρατηρήθηκαν από τον Αύγουστο του 2015 μέχρι και τον Ιανουάριο του 2016, έδειξαν ότι πάνω από 68.000 χρήστες αντιμετώπισαν δείγματα του κακόβουλου λογισμικού Adwind RAT.

Κατά την ίδια περίοδο, η γεωγραφική κατανομή των χρηστών που δέχτηκαν επίθεση και έχουν καταχωρηθεί στο KSN, δείχνει ότι σχεδόν οι μισοί από αυτούς (49%) ζούσαν στις ακόλουθες 10 χώρες: Ηνωμένα Αραβικά Εμιράτα, Γερμανία, Ινδία, ΗΠΑ, Ιταλία, Ρωσία, Βιετνάμ, Χονγκ Κονγκ, Τουρκία και Ταϊβάν.

Με βάση τα προφίλ των αναγνωρισμένων στόχων, οι ερευνητές της Kaspersky Lab πιστεύουν ότι οι πελάτες της πλατφόρμας Adwind εντάσσονται στις ακόλουθες κατηγορίες: απατεώνες που θέλουν να προχωρήσουν στο επόμενο επίπεδο (με τη χρήση κακόβουλου λογισμικού για πιο προηγμένες απάτες), ανταγωνιστές που χρησιμοποιούν αθέμιτα μέσα, ψηφιακοί μισθοφόροι (κατάσκοποι που «ενοικιάζουν» τις υπηρεσίες τους) και ιδιώτες που θέλουν να κατασκοπεύσουν ανθρώπους που γνωρίζουν.

Kaspersky Lab_Map of Adwind

Threat-as-a-Service
Ένα από τα κύρια χαρακτηριστικά που διακρίνει το Adwind RAT από άλλα «εμπορικά» κακόβουλα προγράμματα είναι ότι διανέμεται ανοιχτά, με τη μορφή πληρωμένης υπηρεσίας, όπου ο «πελάτης» πληρώνει ένα τέλος σε αντάλλαγμα για τη χρήση του κακόβουλου προγράμματος.

Με βάση έρευνα της δραστηριότητας των χρηστών στον εσωτερικό πίνακα μηνυμάτων και μερικές άλλες παρατηρήσεις, οι ερευνητές της Kaspersky Lab εκτιμούν ότι υπήρχαν περίπου 1.800 χρήστες στο σύστημα μέχρι το τέλος του 2015. Αυτή είναι μία από τις μεγαλύτερες πλατφόρμες κακόβουλου λογισμικού που έχουν καταγραφεί μέχρι σήμερα.

CareerNet.gr: Βρείτε τώρα τη δουλειά που σας ταιριάζει!

0 ΣΧΟΛΙΑ

Comments are closed.

Top

Show Buttons
Hide Buttons