TECHin

Άγνωστο εργαλείο κατασκοπείας πλήττει χρηματοπιστωτικά ιδρύματα και ερευνητικά κέντρα


Η Παγκόσμια Ομάδα Έρευνας και Ανάλυσης της Kaspersky έχει ανακαλύψει ένα άγνωστο μέχρι πρότινος εργαλείο κατασκοπείας, το οποίο είχε εντοπιστεί σε ινδικά χρηματοπιστωτικά ιδρύματα και ερευνητικά κέντρα. Το επονομαζόμενο Dtrack είναι spyware που φέρεται να δημιουργήθηκε από την ομάδα Lazarus και χρησιμοποιείται για μεταφόρτωση και λήψη αρχείων στα συστήματα των θυμάτων, την καταγραφή πληκτρολογήσεων και την πραγματοποίηση άλλων  ενεργειών που είναι τυπικές για ένα κακόβουλο εργαλείο απομακρυσμένης διαχείρισης (RAT).

Το 2018, οι ερευνητές της Kaspersky ανακάλυψαν το ATMDtrack, ένα κακόβουλο λογισμικό που δημιουργήθηκε για να διεισδύσει σε ΑΤΜ στην Ινδία και να κλέψει τα δεδομένα των καρτών πελατών. Μετά από περαιτέρω έρευνα με τη χρήση του Kaspersky Attribution Engine και άλλων εργαλείων, οι ερευνητές βρήκαν περισσότερα από 180 νέα δείγματα κακόβουλου λογισμικού που είχαν ομοιότητες με την ακολουθία κώδικα του ATMDtrack – αλλά ταυτόχρονα προφανώς δεν στόχευαν σε ΑΤΜ. Αντ ' αυτού, η λίστα των λειτουργιών τους τα καθόριζε ως εργαλεία κατασκοπείας – γνωστά πλέον ως Dtrack. Επιπλέον, τα δύο στελέχη όχι μόνο μοιράζονται ομοιότητες μεταξύ τους, αλλά και με την εκστρατεία DarkSeoul που έλαβε χώρα το 2013 και αποδόθηκε στην ομάδα Lazarus – έναν διαβόητο παράγοντα προηγμένων επίμονων απειλών που ευθύνεται για πολλαπλές εκστρατείες ψηφιακής κατασκοπείας και δολιοφθοράς.

Το Dtrack μπορεί να χρησιμοποιηθεί ως απομακρυσμένο εργαλείο διαχείρισης (RAT), δίνοντας στους απειλητικούς φορείς τον πλήρη έλεγχο των «μολυσμένων» συσκευών. Οι εγκληματίες μπορούν στη συνέχεια να εκτελέσουν διάφορες λειτουργίες, όπως η μεταφόρτωση και η λήψη αρχείων καθώς και η εκτέλεση βασικών διεργασιών.

Οι οργανισμοί που αποτέλεσαν στόχο απειλητικών φορέων που χρησιμοποιούσαν το Dtrack RAT συχνά έχουν αδύναμες πολιτικές ασφάλειας δικτύου και πρότυπα κωδικών πρόσβασης, ενώ επίσης αποτυγχάνουν να παρακολουθούν την κυκλοφορία σε ολόκληρο τον οργανισμό. Εάν υλοποιηθεί με επιτυχία, το spyware είναι σε θέση να παραθέτει όλα τα διαθέσιμα αρχεία και τις διεργασίες που εκτελούνται, να καταγράφει όλες τις πληκτρολογήσεις, το ιστορικό του προγράμματος περιήγησης και τις διευθύνσεις IP του κεντρικού υπολογιστή – συμπεριλαμβανομένων πληροφοριών σχετικά με τα διαθέσιμα δίκτυα και τις ενεργές συνδέσεις.

Το κακόβουλο λογισμικό που ανακαλύφθηκε πρόσφατα είναι ενεργό και εξακολουθεί να χρησιμοποιείται σε ψηφιακές επιθέσεις.

«Η Lazarus είναι μία μάλλον ασυνήθιστη ομάδα υποστηριζόμενη από έθνη/κράτη. Από τη μία πλευρά, όπως πολλές άλλες παρόμοιες ομάδες, επικεντρώνεται στην πραγματοποίηση εκστρατειών ψηφιακής κατασκοπείας ή δολιοφθοράς. Ωστόσο, από την άλλη πλευρά, έχει επίσης διαπιστωθεί ότι κατευθύνει  επιθέσεις που στοχεύουν σαφώς στην κλοπή χρημάτων. Μάλιστα αυτό αποτελεί μοναδικό χαρακτηριστικό για έναν απειλητικό φορέα τόσο υψηλού προφίλ, καθώς δεν είθισται ομάδες τέτοιου επιπέδου να έχουν οικονομικά κίνητρα. Ο τεράστιος αριθμός δειγμάτων του Dtrack που βρήκαμε δείχνουν πως η Lazarus είναι μια από τις πιο ενεργές ομάδες APT, που συνεχώς αναπτύσσει και εξελίσσει τις απειλές της, σε μια προσπάθεια να επηρεάσει τις βιομηχανίες μεγάλης κλίμακας. Η επιτυχής εκτέλεσή τους από το Dtrack RAT αποδεικνύει ότι ακόμα και όταν μια απειλή φαίνεται να εξαφανίζεται, μπορεί να αναστηθεί με διαφορετικό πρόσχημα για να επιτεθεί σε νέους στόχους. Ακόμα και αν είστε ένα ερευνητικό κέντρο, ή ένας χρηματοπιστωτικός οργανισμός που λειτουργεί αποκλειστικά στον εμπορικό τομέα χωρίς καμία συνεργασία με κυβερνητικές εταιρείες, θα πρέπει να εξακολουθείτε να θεωρείτε ως πιθανό σενάριο στο μοντέλο απειλών σας να δεχτείτε επίθεση από έναν εξελιγμένο απειλητικό φορέα και να προετοιμαστείτε αντίστοιχα», σχολιάζει ο Konstantin Zykov, ερευνητής ασφάλειας στην Παγκόσμια Ομάδα Έρευνας και Ανάλυσης της Kaspersky.

Διαβάστε επίσης