Symantec: Εργαλείο κατασκοπείας στοχεύει κυβερνήσεις

by George Polyzos • On 20-08-2014 • AT 12:34 pm • ΚΑΝΕΝΑ ΣΧΟΛΙΟ
Internet

 

Μία εκστρατεία κυβερνοκατασκοπείας που περιλαμβάνει τα malware Wipbot και Turla έχει στοχεύσει συστηματικά κυβερνήσεις και πρεσβείες σε μία σειρά χωρών του πρώην Ανατολικού μπλοκ.

Σύμφωνα με την ομάδα Symantec Security Response, το Trojan.Wipbot (ή Tavdig) αποτελείται από ένα back door που χρησιμοποιείται για να διευκολύνει την αναγνώριση της δραστηριότητας, πριν ο επιτιθέμενος μεταβεί σε μακρόχρονη παρακολούθηση με τη χρήση του Trojan.Turla (επίσης γνωστό και ως Uroboros, Snake και Carbon).

Υπολογίζεται ότι αυτός ο συνδυασμός malware έχει χρησιμοποιηθεί σε κλασσικού τύπου δραστηριότητες κατασκοπείας τα τελευταία 4 χρόνια. Λόγω των επιλεγμένων στόχων και του εξελιγμένου malware που χρησιμοποιήθηκε, η Symantec πιστεύει ότι πίσω από αυτές τις επιθέσεις κρύβεται μία ομάδα που έλαβε κρατική χρηματοδότηση.

Το Turla προσφέρει στον επιτιθέμενο ισχυρές δυνατότητες κατασκοπείας. Σεταρισμένο να ξεκινά κάθε φορά που κάνει έναρξη ο υπολογιστής, μόλις ο χρήστης ξεκινήσει τη λειτουργία ενός Web browser, ανοίγει ένα back door που επιτρέπει την επικοινωνία με τους επιτιθέμενους. Μέσω αυτού του back door, οι επιτιθέμενοι μπορούν να αντιγράφουν αρχεία από τον μολυσμένο υπολογιστή, να σβήνουν αρχεία, και να φορτώνουν και να εκτελούν άλλες μορφές malware, μεταξύ άλλων δυνατοτήτων.

Η ομάδα πίσω από το Turla βασίζεται σε μία διττή στρατηγική επίθεσης που περιλαμβάνει μόλυνση των θυμάτων μέσω spear phishing emails και επιθέσεις τύπου watering hole.Οι επιθέσεις watering hole έχουν επαρκείς δυνατότητες έκθεσης, με τους επιτιθέμενους να παραβιάζουν μία σειρά νόμιμων ιστοσελίδων και να προσβάλουν μόνο τα θύματα που τις επισκέπτονται από προεπιλεγμένες ΙΡ διευθύνσεις. Αυτές οι παραβιασμένες ιστοσελίδες φέρουν το Trojan.Wipbot. Είναι πολύ πιθανό, ότι το Wipbot χρησιμοποιείται έπειτα ως downloader για να μεταφέρει τον Turla στο θύμα.

Ανάλυση στις μολύνσεις αποκάλυψε ότι οι επιτιθέμενοι είχαν εστιάσει σε ένα μικρό αριθμό χωρών. Για παράδειγμα, το Μάιο του 2012, το γραφείο του πρωθυπουργού μίας χώρας μέλους της πρώην Σοβιετικής Ένωσης παραβιάστηκε. Αυτή η μόλυνση εξαπλώθηκε γρήγορα και περισσότεροι από 60 υπολογιστές στο γραφείο του πρωθυπουργού τέθηκαν σε κίνδυνο.

Μία άλλη επίθεση έγινε σε έναν υπολογιστή στην πρεσβεία της Γαλλίας σε μία ακόμη χώρα που ανήκε στην πρώην Σοβιετική Ένωση, στο τέλος του 2012. Κατά τη διάρκεια του 2013, η μόλυνση εξαπλώθηκε σε άλλους υπολογιστές συνδεδεμένους με το δίκτυο του υπουργείου εξωτερικών της συγκεκριμένης χώρας. Επίσης, μολύνθηκε και το υπουργείο εσωτερικών.

Επιπλέον έρευνα εντόπισε μία συστηματική εκστρατεία κατασκοπείας που είχε ως στόχο το διπλωματικό σώμα. Παρόμοιες μολύνσεις είχαν υποστεί πρεσβείες στο Βέλγιο, στην Ουκρανία, στην Κίνα, στην Ιορδανία, στην Ελλάδα, στο Καζακστάν, στην Αρμενία, στην Πολωνία και στη Γερμανία.

Τουλάχιστον πέντε ακόμη χώρες στην περιοχή έχουν γίνει στόχος παρόμοιων επιθέσεων. Ενώ οι επιτιθέμενοι έχουν κυρίως εστιάσει στο πρώην Ανατολικό μπλοκ, βρέθηκαν και άλλοι στόχοι. Αυτοί περιλαμβάνουν το υπουργείο υγείας μίας Δυτικοευρωπαϊκής χώρας, το υπουργείο παιδείας μίας χώρας στην Κεντρική Αμερική, μία κρατική αρχή ηλεκτρισμού στη Μέση Ανατολή και έναν οργανισμό παροχών υγείας στις Η.Π.Α.

 

CareerNet.gr: Βρείτε τώρα τη δουλειά που σας ταιριάζει!

0 ΣΧΟΛΙΑ

Comments are closed.

Top

Show Buttons
Hide Buttons