Kiberkémek közép-ázsiai diplomáciai szervezetekre irányuló célzott támadáshullámát leplezték le a Kaspersky Lab szakemberei. Az „Octopus” elnevezésű trójai vírus, amelyet egy népszerű és legitim online üzenetküldő szolgáltatás verziójaként álcáztak, abban az időszakban vonzott felhasználókat, amikor a Telegram üzenetküldő szolgáltatás lehetséges betiltásáról szóló hírek terjedtek a régióban. A telepítést követően az Octopus távoli hozzáférést biztosított a támadóknak az áldozatok számítógépéhez.
Támadók folyamatosan kutatják a kiaknázható modern trendeket, és ezekhez igazítják módszereiket, hogy veszélybe sodorják a felhasználók személyes adatait és érzékeny információit világszerte. Jelen esetben a széles körben használt Telegram üzenetküldő szolgáltatás lehetséges betiltásának híre tette lehetővé, hogy támadásokat tervezzenek az Octopus trójai vírus használatával, amely később távoli hozzáférést biztosított a hekkereknek az áldozat számítógépéhez.
A támadók egy olyan archívumban terjesztették az Octopust, amelyet a Telegram üzenetküldő szolgáltatás kazah ellenzéki pártoknak szánt alternatív verziójának álcáztak. A gyorsindító a régió egyik ellenzéki politikai pártjának jól felismerhető szimbólumával volt álcázva, és ebben volt elrejtve a trójai vírus. Az aktiválást követően a trójai vírus lehetővé tette a rosszindulatú program mögött álló támadók számára, hogy különféle műveleteket végezzenek a fertőzött gépen lévő adatokkal, többek között például törölhették, blokkolhatták, módosíthatták, másolhatták vagy letölthették őket. A támadók így kémkedhettek az áldozatok után, érzékeny adatokat lophattak el, és egy hátsó kaput nyitva hozzáférhettek a rendszerekhez. A módszer mutat némi hasonlóságot a hírhedt Zoo Park elnevezésű kiberkémmel, amelynél a támadáshoz használt rosszindulatú program egy Telegram-alkalmazást imitált, és így kémkedett az áldozatok után.
A szoftverkódok hasonlóságait felismerő Kaspersky-algoritmusokat alkalmazva a biztonsági kutatók felfedezték, hogy az Octopus a DustSquadhoz köthető. A DustSquad egy orosz nyelvű kiberkém, amelyet korábban a közép-ázsiai szovjet utódállamokban, valamint 2014-ől kezdve Afganisztánban is észleltek már. Az elmúlt két évben a kutatók négy olyan támadáskampányukat leplezték le, amelyek során Android és Windows alatt futó testre szabott rosszindulatú programokkal a magánfelhasználókat és a diplomáciai szervezeteket egyaránt támadták.
„2018-ban nagyon sok olyan esetet láttunk, amikor a támadók közép-ázsiai diplomáciai testületeket vettek célba. A DustSquad már több éve működik a régióban, és elképzelhető, hogy ez a csoport áll az új fenyegetés mögött is. Az mindenesetre biztos, hogy a régió kiberügyei iránt egye nagyobb az érdeklődés. Nyomatékosan ajánljuk, hogy a régióban élő felhasználók és az ott működő szervezetek tartsák szemmel a rendszereiket, és az alkalmazottaiktól is követeljék meg ezt” – mondta Denis Legezo, a Kaspersky Lab biztonsági kutatója.
A kifinomult kibertámadások kockázatának csökkentése érdekében a Kaspersky Lab az alábbi intézkedések megtételét ajánlja:
- Részesítse oktatásban a dolgozókat a digitális biztonság témakörében, és magyarázza el nekik, hogy miként ismerhetik fel és kerülhetik el az esetlegesen rosszindulatú alkalmazásokat vagy fájlokat. Az alkalmazottak például ne töltsenek le és ne indítsanak el nem megbízható vagy ismeretlen forrásból származó alkalmazásokat vagy programokat.
- Használjon Alkalmazásfelügyelő funkcióval rendelkező hatékony végpontvédelmi megoldásokat, ugyanis ez a funkció korlátozza, hogy egy alkalmazás elinduljon, vagy hozzáférjen a kritikusan fontos rendszer-erőforrásokhoz.
- Használjon a célzott támadások ellen védelmet nyújtó megoldásokat és technológiákat, mint például a Kaspersky Anti Targeted Attack Platform és a Kaspersky EDR. Ezek segítenek észlelni a rosszindulatú tevékenységet a hálózaton, továbbá hatékonyan megvizsgálják a támadásokat és reagálnak rájuk úgy, hogy blokkolják az előrehaladásukat.
- Biztosítsa biztonsági csapata profi fenyegetéselemzésekhez való hozzáférését.
