Jauns draudu izpildītājs medī rūpniecības un mašīnbūves organizācijas

Izmantojot mērķpikšķerēšanas e-pasta vēstules un uz komerciālās spiegprogrammatūras komplektu balstītu ļaunprogrammatūru, noziedznieki medī vērtīgus ar uzņēmējdarbību saistītos datus, kas glabājas viņu upuru tīklos. Kopumā šī grupa ir sekmīgi uzbrukusi vairāk nekā 130 organizācijām 30 valstīs, tostarp Spānijā, Pakistānā, Apvienotajos Arābu Emirātos, Indijā, Ēģiptē, Apvienotajā Karalistē, Vācijā, Saūda Arābijā un citās.

2016. gada jūnijā Kaspersky Lab pētnieki pamanīja mērķpikšķerēšanas e-pasta vēstuļu vilni ar kaitīgiem pielikumiem. Šie paziņojumi galvenokārt tika sūtīti daudzu uzņēmumu augstākajiem un vidējā līmeņa vadītājiem. Uzbrucēju nosūtītās e-pasta vēstules šķita pienākam no bankas Apvienotajos Arābu Emirātos (AAE): tās izskatījās kā bankas maksājuma paziņojums ar pievienotu SWIFT dokumentu, bet patiesībā pievienotais arhīvs saturēja ļaunprogrammatūru.

Pētnieku turpmākā izmeklēšana parādīja, ka mērķpikšķerēšanas kampaņu, visticamāk, ir sarīkojusi kibernoziedznieku grupa, kura tiek izsekota kopš 2015. gada marta. Jūnija uzbrukumi acīmredzot bija šīs grupas jaunākā operācija.

E-pasta vēstuļu pielikumā pievienotā ļaunprogrammatūra ir balstīta uz komerciālo spiegprogrammatūru HawkEye, kas tiek atklāti pārdota tumšajā internetā, un nodrošina uzbrucējus ar dažādiem rīkiem. Pēc instalēšanas tā vāc interesantus datus no upura PC, tostarp:

• taustiņspiedienus;
• starpliktuves datus;
• FTP servera akreditācijas datus;
• konta datus no pārlūkprogrammām;
• konta datus no ziņapmaiņas klientiem (Paltalk, Google talk, AIM u. c.);
• konta datus no e-pasta klientiem (Outlook, Windows Live mail u. c.);
• informāciju par instalētajām lietojumprogrammām (Microsoft Office).

Vēlāk šie dati tiek nosūtīti uz draudu izpildītāja komandvadības serveriem. Pamatojoties uz informāciju, kas ir saņemta no dažu komandvadības serveru datu sateknes, lielākā daļa upuru ir organizācijas, kas strādā rūpniecības un mašīnbūves nozarē, bet pārējās aptver pārvadājumu, farmācijas, ražošanas, tirdzniecības uzņēmumus, izglītības organizācijas un citu veidu objektus.

Visu šo uzņēmumu rīcībā ir vērtīga informācija, kuru pēc tam var pārdot melnajā tirgū — operācijas «Vampīrs» rīkotāju galvenā motivācija ir peļņa.

Par operāciju «Vampīrs» (Ghoul) nodēvētā kampaņa ir tikai viena no vairākām citām, ko, domājams, kontrolē viena un tā pati grupa, kas joprojām ir aktīva.

«Senajā folklorā vampīrs ir ļauns gars, kas barojas ar cilvēka miesu un medī bērnus, — sākotnēji tas bija mezopotāmiešu dēmons. Mūsdienās šo terminu dažkārt lieto, lai aprakstītu alkatīgu vai materiālistisku personu. Tas ir diezgan precīzs operāciju «Vampīrs» sarīkojušās grupas raksturojums. Tās galvenā motivācija ir finansiāli ieguvumi, kas rodas vai nu no nozagtā intelektuālā īpašuma un komercinformācijas pārdošanas, vai arī no uzbrukumiem upuru bankas kontiem. Atšķirībā no valsts sponsorētiem izpildītājiem, kas rūpīgi izvēlas mērķus, šī un līdzīgas grupas var uzbrukt jebkuram uzņēmumam. Lai gan tās izmanto samērā vienkāršus kaitīgos rīkus, to uzbrukumi ir ļoti efektīvi. Tādējādi diemžēl cietīs uzņēmumi, kas nav sagatavojušies pamanīt uzbrukumus,» sacīja Kaspersky Lab drošības eksperts Muhameds Amins Hasbini.

Lai aizsargātu savu uzņēmumu no operācijas «Vampīrs» un citiem līdzīgiem apdraudējumiem, uzņēmumiem ieteikts īstenot šādus pasākumus:

• izglītojiet savus darbiniekus, lai viņi spētu atšķirt mērķpikšķerēšanas e-pasta vēstuli vai pikšķerēšanas saiti no īstām e-pasta vēstulēm un saitēm;
• izmantojiet pārbaudītu korporatīvās klases drošības risinājumu apvienojumā ar pretmērķuzbrukumu risinājumiem, kas spēj konstatēt uzbrukumus, analizējot tīkla anomālijas;
• sniedziet savam drošības personālam piekļuvi jaunākajiem datiem par apdraudējumiem, kas viņus apbruņos ar noderīgiem rīkiem mērķuzbrukumu profilaksei un atklāšanai, piemēram, uzlaušanas indikatoriem un YARA noteikumiem.

Grupas, kas sarīkojusi operāciju «Vampīrs», izmantoto ļaunprogrammatūru Kaspersky Lab izstrādājumi nosaka ar šādiem konstatēšanas nosaukumiem: Trojan.MSIL.ShopBot.ww, Trojan.Win32.Fsysna.dfah, Trojan.Win32.Generic.