Οι ερευνητές της ESET ανακάλυψαν ένα backdoor Trojan που επιτίθεται σε Android το οποίο ελέγχεται μέσω tweets. Ανιχνεύεται από την ESET ως Android/Twitoor, και είναι η πρώτη κακόβουλη εφαρμογή που χρησιμοποιεί το Twitter αντί του παραδοσιακού διακομιστή C&C (command-and-control).

Αφού ξεκινήσει, το Trojan κρύβει την παρουσία του στο σύστημα και ελέγχει τον καθορισμένο λογαριασμό Twitter σε τακτά χρονικά διαστήματα για εντολές. Με βάση τις λαμβανόμενες εντολές, μπορεί είτε να κατεβάσει κακόβουλες εφαρμογές ή να αλλάξει το C&C λογαριασμό Twitter σε ένα άλλο.

«Η χρήση του Twitter για τον έλεγχο ενός botnet είναι ένα καινοτόμο βήμα για την πλατφόρμα Android» επισημαίνει ο Lukáš Štefanko, ο ερευνητής malware της ESET  που ανακάλυψε την κακόβουλη εφαρμογή.

Σύμφωνα με τον Štefanko, τα κανάλια επικοινωνίας που βασίζονται στα κοινωνικά δίκτυα είναι δύσκολο να εντοπιστούν και αδύνατον να εμποδιστουν πλήρως, ενώ ταυτόχρονα είναι εξαιρετικά εύκολο για τους απατεώνες να ανακατευθύνουν εκ νέου την επικοινωνία σε άλλο λογαριασμό.

Το Twitter χρησιμοποιήθηκε για πρώτη φορά για τον έλεγχο botnets των Windows το 2009. «Σχετικά με το χώρο των Android, αυτό το μέσο απόκρυψης είχε παραμείνει ανεκμετάλλευτο μέχρι τώρα. Στο μέλλον, όμως statuses, μπορούμε να αναμένουμε ότι οι «κακοί» θα προσπαθήσουν να κάνουν χρήση των Facebook status ή να εκμεταλλευτούν το LinkedIn και άλλα κοινωνικά δίκτυα», προβλέπει ο Štefanko.

Το Android / Twitoor είναι ενεργό από τον Ιούλιο του 2016. Δεν μπορεί να βρεθεί σε οποιοδήποτε επίσημο κατάστημα εφαρμογών Android – σύμφωνα με τον Štefanko– αλλά μάλλον εξαπλώνεται μέσω SMS ή μέσω κακόβουλων URL. Υποδύεται μια εφαρμογή porn player ή εφαρμογή MMS αλλά χωρίς την λειτουργικότητα. Αντ’ αυτού, κατεβάζει διάφορες εκδόσεις κακόβουλου λογισμικού για mobile banking. Ωστόσο, αυτοί που διαχειρίζονται το botnet μπορούν να ξεκινήσουν τη διάδοση και άλλων κακόβουλων προγραμμάτων ανά πάσα στιγμή, συμπεριλαμβανομένου και ransomware, σύμφωνα με το Štefanko.

«Το Twitoor αποτελεί ένα άλλο παράδειγμα του ότι οι εγκληματίες του κυβερνοχώρου συνεχώς καινοτομούν. Οι χρήστες του Διαδικτύου θα πρέπει να διατηρούν ασφαλείς τις δραστηριότητές τους με καλές λύσεις ασφάλειας τόσο για υπολογιστές όσο και για φορητές συσκευές», καταλήγει ο Lukáš Štefanko.

Περισσότερες πληροφορίες στο σχετικό blogpost στο blog της ESET, WeLiveSecurity.

Η Kaspersky Lab ανακάλυψε ένα νέο κύμα στοχευμένων επιθέσεων εναντίον του βιομηχανικού και του μηχανολογικού κλάδου σε πολλές χώρες, ανά τον κόσμο. Χρησιμοποιώντας μηνύματα (e-mail) spear-phishing και κακόβουλο λογισμικό με βάση ένα εμπορικό spyware kit, οι εγκληματίες προσπαθούν να αποσπάσουν πολύτιμα επιχειρηματικά δεδομένα, που βρίσκονται αποθηκευμένα στα δίκτυα των θυμάτων τους. Συνολικά, πάνω από 130 οργανισμοί από 30 χώρες, μεταξύ των οποίων η Ισπανία, το Πακιστάν, τα Ηνωμένα Αραβικά Εμιράτα, η Ινδία, η Αίγυπτος, το Ηνωμένο Βασίλειο, η Γερμανία, η Σαουδική Αραβία κ.ά., έπεσαν θύματα επιτυχημένων επιθέσεων από την συγκεκριμένη ομάδα.

Τον Ιούνιο του 2016, οι ερευνητές της Kaspersky Lab εντόπισαν ένα κύμα μηνυμάτων spear-phishing, που περιλάμβαναν κακόβουλα συνημμένα αρχεία. Τα μηνύματα αυτά είχαν αποσταλεί κυρίως σε κορυφαία και μεσαία στελέχη πολλών εταιριών. Τα email που στάλθηκαν από τους εισβολείς φαίνονταν να προέρχονται από μια τράπεζα στα Ηνωμένα Αραβικά Εμιράτα (ΗΑΕ), ενώ έμοιαζαν με συμβουλές πληρωμής από την τράπεζα και περιλάμβαναν ένα συνημμένο έγγραφο SWIFT, αλλά στην πραγματικότητα, το συνημμένο αρχείο περιείχε κακόβουλο λογισμικό.

Περαιτέρω έρευνα που διεξήχθη από ερευνητές της Kaspersky Lab έδειξε ότι αυτή η εκστρατεία spear-phishingέχει πιθανότατα οργανωθεί από μία ομάδα ψηφιακών εγκληματιών, που είχε εντοπιστεί για πρώτη φορά από τους ερευνητές της εταιρείας, τον Μάρτιο του 2015. Οι επιθέσεις του Ιουνίου φαίνεται να είναι η πιο πρόσφατη ενέργεια αυτής της ομάδας.

Το κακόβουλο λογισμικό που βρίσκεται στο συνημμένο αρχείο βασίζεται στο λογισμικό Hawkeye, ένα spywareπρόγραμμα που διατίθεται εμπορικά και πωλείται απροκάλυπτα στο Darkweb. Το συγκεκριμένο πρόγραμμα παρέχει μια ευρεία γκάμα εργαλείων που μπορούν να αξιοποιήσουν οι επιτιθέμενοι. Μετά την εγκατάσταση του, συλλέγει ενδιαφέροντα στοιχεία από τον υπολογιστή του θύματος, συμπεριλαμβανομένων:

• Πληκτρολογήσεων
• Αντιγραμμένων δεδομένων στο clipboard
• Στοιχείων από FTP server
• Στοιχείων λογαριασμού από προγράμματα περιήγησης
• Στοιχείων λογαριασμού από πλατφόρμες άμεσων μηνυμάτων (π.χ. Paltalk, GoogleTalk, AIM)
• Στοιχείων λογαριασμού από εφαρμογές e-mailσε πελάτες (π.χ. Outlook, Windows Live Mail)
• Πληροφοριών σχετικά με εγκατεστημένες εφαρμογές (π.χ. Microsoft Office)

Στη συνέχεια, αυτά τα δεδομένα αποστέλλονταν στους Command & Control servers του απειλητικού φορέα. Με βάση τις πληροφορίες που προέκυψαν από κάποιες «τρύπες» σε ορισμένους Command & Control servers, η πλειοψηφία των θυμάτων είναι οργανισμοί που δραστηριοποιούνται στους τομείς της βιομηχανίας και της μηχανολογίας, καθώς και εταιρείες από τον ναυτιλιακό, τον φαρμακευτικό, τον κατασκευαστικό, τον εμπορικό και τον εκπαιδευτικό κλάδο, μεταξύ άλλων.

Όλες αυτές οι επιχειρήσεις κατέχουν πολύτιμες πληροφορίες που θα μπορούσαν να πωληθούν στη συνέχεια στη μαύρη αγορά. Το οικονομικό κέρδος είναι το κύριο κίνητρο των επιτιθέμενων πίσω από το «Operation Ghoul».

Το «Operation Ghoul»,όπως ονομάστηκε από τους ερευνητές της Kaspersky Lab, είναι μόνο μία από τις πολλές εκστρατείες που υποτίθεται ότι ελέγχονται από την ίδια ομάδα ψηφιακού εγκλήματος, η οποία παραμένει ενεργή.

«Σύμφωνα με την αρχαία Λαογραφία, το Ghoul είναι ένας δαίμονας που συναντάται στους μύθους της Μεσοποταμίας, ένα κακό πνεύμα που κατατρώει ανθρώπινη σάρκα και κυνηγά παιδιά. Σήμερα, η λέξη αυτή χρησιμοποιείται μερικές φορές, για να περιγράψει έναν άπληστο ή υλιστή άνθρωπο. Αυτή είναι μια αρκετά ακριβής περιγραφή της ομάδας πίσω από το «Operation Ghoul». Κύριο κίνητρό των εγκληματιών είναι το οικονομικό κέρδος από τις πωλήσεις της κλεμμένης πνευματικής ιδιοκτησίας και επιχειρηματικής πληροφόρησης ή από επιθέσεις στους τραπεζικούς λογαριασμούς των θυμάτων τους. Σε αντίθεση με τους φορείς που επιτίθενται σε κρατικούς οργανισμούς, οι οποίοι επιλέγουν τους στόχους προσεκτικά, αυτή η ομάδα, όπως και άλλες παρόμοιες, μπορούν δυνητικά να επιτεθούν σε κάθε εταιρεία. Ακόμα κι αν χρησιμοποιούν σχετικά απλά κακόβουλα εργαλεία, είναι πολύ αποτελεσματικές στις επιθέσεις τους. Έτσι, οι εταιρείες που δεν είναι προετοιμασμένες για να εντοπίζουν αυτές τις επιθέσεις, δυστυχώς θα υποφέρουν», δήλωσε ο Mohammad Amin Hasbini, ειδικός σε θέματα ασφάλειας της Kaspersky Lab.

Για την προστασία των επιχειρήσεων από το «Operation Ghoul» και άλλες παρόμοιες απειλές, οι ερευνητές της Kaspersky Lab συνιστούν την εφαρμογή των παρακάτω μέτρων:

• Ιδιαίτερη έμφαση πρέπει να δοθεί στην εκπαίδευση του προσωπικού, ώστε τα στελέχη των επιχειρήσεων να είναι σε θέση να αναγνωρίζουν μηνύματα ή links που χρησιμοποιούνται ως εργαλεία spear-phishing.
• Βασικό στοιχείο για την προστασία των επιχειρήσεων αποτελεί η χρήση μιας δοκιμασμένης λύσης εταιρικής ασφάλειας, σε συνδυασμό με ειδικευμένες λύσεις εναντίον των στοχευμένων επιθέσεων, οι οποίες μπορούν να προλάβουν τις επιθέσεις, αναλύοντας πιθανές ανωμαλίες στο δίκτυο.
• Τα στελέχη που είναι επιφορτισμένα με την ψηφιακή ασφάλεια των επιχειρήσεων πρέπει να έχουν πρόσβαση στα πλέον πρόσφατα στοιχεία και πληροφορίες σχετικά με τις ηλεκτρονικές απειλές, καθώς έτσι θα εξοπλιστούν με χρήσιμα εργαλεία για την πρόληψη και τον εντοπισμό των στοχευμένων επιθέσεων, όπως οι δείκτες παραβίασης και οι κανόνες YARA.

Τα προϊόντα της Kaspersky Lab εντοπίζουν το κακόβουλο λογισμικό που χρησιμοποιείται από την ομάδα πίσω από το «Operation Ghoul» υπό τις ακόλουθες κωδικές ονομασίες: «Trojan.MSIL.ShopBot.ww», «Trojan.Win32.Fsysna.dfah» και «Trojan.Win32.Generic».

Περισσότερες πληροφορίες σχετικά με το «Operation Ghoul» είναι διαθέσιμες στον ιστότοπο Securelist.com. Όσοι επιθυμούν να μάθουν περισσότερα για τις στρατηγικές μετριασμού των επιπτώσεων από τέτοιου είδους επιθέσεις, μπορούν να επισκεφθούν το εξειδικευμένο blog της Kaspersky Lab για την ασφάλεια των επιχειρήσεων.

Η πλήρης έκθεση για τις δραστηριότητες του «Operation Ghoul» είναι διαθέσιμη στους πελάτες της υπηρεσίας Kaspersky APT Intelligence Reporting Service.

Σύμφωνα με νέα έρευνα της Kaspersky Lab, όσοι ταξιδεύουν – είτε για παραθεριστικούς, είτε για επαγγελματικούς λόγους – διενεργούν πολλές ηλεκτρονικές οικονομικές συναλλαγές όταν βρίσκονται στο εξωτερικό, θέτοντας τον εαυτό τους σε κίνδυνο, όταν δεν λαμβάνουν τα κατάλληλα μέτρα προστασίας.

Η έρευνα αποκάλυψε ότι το 59% των Ελλήνων ταξιδιωτών πιστεύει ότι η απώλεια χρημάτων είναι μία από τις τρεις κορυφαίες απειλές που ενδέχεται να αντιμετωπίσει στο εξωτερικό, ενώ ο κίνδυνος κλοπής πιστωτικής κάρτας κατατάσσεται μεταξύ των τριών κορυφαίων απειλών από το 30%. Οι ανησυχίες αυτές είναι βάσιμες, με την έρευνα να αναδεικνύει επίσης ότι υπάρχει πραγματικός κίνδυνος απώλειας χρημάτων κατά τη διάρκεια ενός ταξιδιού. Το 17% των Ελλήνων που συμμετείχαν στην έρευνα δήλωσε ότι έχει βιώσει μια τέτοια απώλεια, ενώ σε διεθνές επίπεδο, το 8% δήλωσε ότι υπήρξε κάτοχος κάρτας που «παραβιαστεί», όσο βρισκόταν σε μια ξένη χώρα.

Αντιθέτως, μόλις το 6% των Ελλήνων δήλωσε ότι η «μόλυνση» μιας συσκευής βρίσκεται μεταξύ των τριών κορυφαίων ανησυχιών του, όταν ταξιδεύει, ενώ το αντίστοιχο μέγεθος για τις διαδικτυακές απάτες ανέρχεται στο 13%. Κι όλα αυτά, παρά το γεγονός ότι το 7% των Ελλήνων δήλωσε ότι έχει πέσει θύμα ψηφιακού εγκλήματος όσο βρισκόταν στο εξωτερικό.

Ωστόσο, δεν πρέπει να αποτελεί έκπληξη το γεγονός ότι οι ταξιδιώτες πέφτουν θύματα του ψηφιακού εγκλήματος. Το 75% των Ελλήνων συνδέεται σε δημόσια Wi-Fi δίκτυα οπουδήποτε στο εξωτερικό, χρησιμοποιώντας αυτή τη δυνητικά επικίνδυνη σύνδεση, που μπορεί να υποκλαπεί και να χρησιμοποιηθεί από ψηφιακούς εγκληματίες. Μάλιστα, ένα μεγάλο ποσοστό πραγματοποιεί onlineτραπεζικές συναλλαγές (37%) και onlineαγορές (37%)μέσω αυτών των δικτύων. Χωρίς την κατάλληλη προστασία, αυτή η συμπεριφορά εκθέτει τους χρήστες και τα χρήματά τους σε περιττούς κινδύνους, ωστόσο μόλις το 24% των Ελλήνων ταξιδιωτών χρησιμοποιεί ασφαλείς συνδέσεις VPN, όταν αποκτά πρόσβαση σε δημόσια Wi-Fi δίκτυα. Επίσης, είναι ανησυχητικό ότι το 21% των Ελλήνων δηλώνει ότι δεν κάνει απολύτως τίποτα για να εξασφαλίσει την προστασία του.

«Στο σημερινό διασυνδεδεμένο κόσμο, είμαστε σε θέση να ταξιδεύουμε εύκολα για εργασία ή για αναψυχή και να έχουμε πρόσβαση στο Διαδίκτυο ό,τι κι αν κάνουμε. Αυτή η δυνατότητα μας προσφέρει εκπληκτικές και συναρπαστικές ευκαιρίες, αλλά μας εκθέτει και σε κινδύνους, αν δεν είμαστε προσεκτικοί. Είναι πολύ εύκολο αν συνδεθούμε σε ένα δυνητικά μη ασφαλές Wi-Fi δίκτυο στο εξωτερικό και στη συνέχεια να προχωρήσουμε σε συνηθισμένες onlineτραπεζικές συναλλαγές  και αγορές, χωρίς να κάνουμε οποιαδήποτε σκέψη για τις συνέπειες του τι κάνουμε. Προτρέπουμε, λοιπόν, τους ταξιδιώτες να είναι περισσότερο «ψηφιακά ενσυνείδητοι», να ξανασκεφτούν τις online δραστηριότητές τους όταν βρίσκονται στο εξωτερικό, καθώς και να λάβουν μέτρα για να προστατεύσουν τα χρήματά», σχολίασε ο David Emm, Principal Security Researcher της Kaspersky Lab.

Για να αποτραπεί η απώλεια χρημάτων, οι χρήστες θα πρέπει να συμπεριφέρονται με ασφάλεια όταν βρίσκονται στο εξωτερικό. Αυτό σημαίνει ότι πρέπει πάντα να φροντίζουν για την ασφάλεια των πιστωτικών καρτών τους, να συνδέονται στο Διαδίκτυο μόνο μέσω ασφαλούς σύνδεσης VPN και να χρησιμοποιούν μία ισχυρή λειτουργία ασφαλείας, όπως το Safe Money της Kaspersky Lab. Διαθέσιμη στις λύσεις Kaspersky Internet Security και Kaspersky Total Security, η τεχνολογία Safe Money επιτρέπει στους χρήστες να εισάγουν οικονομικές πληροφορίες και πραγματοποιούν ασφαλείς συναλλαγές με οποιαδήποτε τράπεζα ή ιστότοπο ηλεκτρονικού εμπορίου.

H Επιτροπή Χρηματοοικονομικών Υπηρεσιών του Γιβραλτάρ (Gibraltar Financial Services Commission – GFSC) επιθυμεί να προειδοποιήσει το κοινό ότι ο δικτυακός τόπος “enterpriseinsuranceclaim.com” δεν έχει σχέση με την ασφαλιστική εταιρία Enterprise Insurance Company Plc και ότι περιέχει ψευδείς και παραπλανητικές πληροφορίες σχετικά με την ισχύ των ασφαλιστηρίων συμβολαίων της και την κατάσταση των ασφαλισμένων.

Γι’ αυτό το λόγο, η GFSC, η οποία είναι η εποπτική αρχή του Γιβραλτάρ, εφιστά την προσοχή του κοινού και συμβουλεύει τους ασφαλισμένους να βασίζονται μόνο στις πληροφορίες που εκδίδει η ίδια και ο Προσωρινός Εκκαθαριστής της Enterprise.

Όσοι έχουν ήδη εμπλακεί σε τυχόν δοσοληψίες με τον εν λόγω δικτυακό τόπο θα πρέπει να επικοινωνήσουν με τη νομική υπηρεσία (Enforcement division) της GFSC (τηλέφωνο: +350 200 40283 ή e-mail: enforcement@fsc.gi).

Δείτε εδώ την ανακοίνωση της GFSC.

ΠΗΓΗ:

ΤτΕ

Τον Σεπτέμβριο του 2015, η πλατφόρμα Anti–Targeted Attack της Kaspersky Lab επισήμανε ένα ασυνήθιστο χαρακτηριστικό στο δίκτυο ενός οργανισμού. Η «ανωμαλία» αυτή οδήγησε τους ερευνητές στην αποκάλυψη του «ProjectSauron», ενός απειλητικού φορέα με εθνική/κρατική υποστήριξη, ο οποίος επιτίθεται σε κρατικούς οργανισμούς, χρησιμοποιώντας ένα μοναδικό σύνολο εργαλείων για κάθε θύμα, καθιστώντας τους παραδοσιακούς δείκτες παραβίασης σχεδόν άχρηστους. Στόχος των επιθέσεων φαίνεται να είναι κυρίως η ψηφιακή κατασκοπεία.

Το ProjectSauron εστιάζει στην απόκτηση πρόσβασης σε κρυπτογραφημένες επικοινωνίες, χρησιμοποιώντας μία προηγμένη αρθρωτή πλατφόρμα ψηφιακής κατασκοπείας, η οποία ενσωματώνει μια σειρά από μοναδικά εργαλεία και τεχνικές. Το πιο αξιοσημείωτο χαρακτηριστικό του ProjectSauron είναι η εσκεμμένη αποφυγή προτύπων συμπεριφοράς. Το ProjectSauron προσαρμόζει τα «εμφυτεύματα» και την υποδομή του για κάθε επιμέρους στόχο και ποτέ δεν τα επαναχρησιμοποιεί. Η προσέγγιση αυτή, σε συνδυασμό με πολλαπλές διαδρομές για την εκδιήθηση των κλεμμένων δεδομένων, όπως νόμιμα κανάλια email και DNS, δίνει τη δυνατότητα στο ProjectSauron να διεξάγει μυστικές, μακροπρόθεσμες εκστρατείες κατασκοπείας σε δίκτυα-στόχους.

Το ProjectSauron δίνει την εντύπωση ότι όποιος βρίσκεται πίσω από αυτό είναι ένας έμπειρος και παραδοσιακός φορέας, που έχει καταβάλει σημαντικές προσπάθειες για την μελέτη άλλων εξαιρετικά προηγμένων φορέων, όπως Duqu, Flame, Equationκαι Regin, υιοθετώντας μερικές από τις πιο καινοτόμες τεχνικές τους και βελτιώνοντας τις τακτικές τους, προκειμένου να παραμείνει κρυφός.

Βασικά χαρακτηριστικά

Τα εργαλεία και οι τεχνικές του ProjectSauron που παρουσιάζουν ιδιαίτερο ενδιαφέρον είναι οι εξής:

• Μοναδικό αποτύπωμα: Τα βασικά του εμφυτεύματα έχουν διαφορετικά ονόματα και μεγέθη αρχείων και είναι ξεχωριστά φτιαγμένα για κάθε στόχο, γεγονός που καθιστά πολύ δύσκολο τον εντοπισμό τους, δεδομένου ότι οι ίδιοι βασικοί δείκτες παραβίασης θα είχαν μικρή αξία για οποιοδήποτε άλλο στόχο.
• Χρήση της μνήμης: Τα βασικά εμφυτεύματα κάνουν χρήση των νόμιμων scriptsπου χρησιμοποιούνται για ενημερώσεις λογισμικού και λειτουργούν ως backdoors, κατεβάζοντας νέες ενότητες ή «τρέχοντας» εντολές από τον εισβολέα καθαρά στη μνήμη ενός συστήματος.
• Κλίση προς τις κρυπτογραφημένες επικοινωνίες: Το ProjectSauron αναζητά ενεργά πληροφορίες που σχετίζονται με αρκετά σπάνιο και προσαρμοσμένο λογισμικό κρυπτογράφησης δικτύου. Αυτό το λογισμικό clientserver έχει ευρέως υιοθετηθεί από πολλές από τις οργανώσεις-στόχους για τη διασφάλιση των επικοινωνιών, των μηνυμάτων τηλεφωνητή, του ηλεκτρονικού ταχυδρομείου, και της ανταλλαγής εγγράφων. Οι επιτιθέμενοι ενδιαφέρονται ιδιαίτερα για την κρυπτογράφηση συστατικών στοιχείων του λογισμικού, κλειδιά, αρχεία ρυθμίσεων και τη θέση των servers που αναμεταδίδουν κρυπτογραφημένα μηνύματα ανάμεσα στους κόμβους ενός δικτύου.
• Ευελιξία που βασίζεται στη χρήση script: Ο φορέας ProjectSauron έχει θέσει σε εφαρμογή μια σειρά από εργαλεία χαμηλού επιπέδου, που έχουν ενορχηστρωθεί από υψηλού επιπέδου scripts LUA. Η χρήση των στοιχείων LUA σε κακόβουλο λογισμικό είναι πολύ σπάνια. Προηγουμένως, έχει εντοπιστεί μόνο στις επιθέσεις Flame και Animal Farm.
• Παράκαμψη λύσεων απομόνωσης δικτύων: Το ProjectSauron κάνει χρήση ειδικά προετοιμασμένων μονάδωνUSB, ώστε να διαπερνά απομονωμένα δίκτυα. Αυτές οι μονάδεςUSB κρύβουν τα τμήματα στα οποία είναι κρυμμένα τα κλεμμένα δεδομένα.
• Πολλαπλοί μηχανισμοί εκδιήθησης δεδομένων: Το ProjectSauron υλοποιεί μια σειρά από διαδρομές για να συλλέξει δεδομένα, συμπεριλαμβανομένων νόμιμων καναλιών, όπως emailκαι DNS Έτσι, οι κλεμμένες πληροφορίες που έχουν αντιγραφεί από το θύμα, «μεταμφιέζονται» στην καθημερινή ροή εργασιών.

Γεωγραφική εξάπλωση και προφίλ θυμάτων

Μέχρι σήμερα, πάνω από 30 οργανισμοί-θύματα έχουν εντοπιστεί στη Ρωσία, το Ιράν και τη Ρουάντα, και ενδέχεται να υπάρχουν θύματα και σε κάποιες ιταλόφωνες χώρες. Η Kaspersky Lab πιστεύει ότι πολλοί περισσότεροι οργανισμοί και γεωγραφικές περιοχές είναι πιθανό να επηρεαστούν.

Με βάση την ανάλυση της Kaspersky Lab, οι οργανισμοί-στόχοι γενικά διαδραματίζουν καίριο ρόλο στην παροχή κρατικών υπηρεσιών και περιλαμβάνουν:

• Κυβερνητικούς φορείς
• Στρατιωτικούς οργανισμούς
• Κέντρα Επιστημονικής Έρευνας
• Παρόχους τηλεπικοινωνιών
• Χρηματοοικονομικούς οργανισμούς

Η ψηφιακή εγκληματολογική ανάλυση δείχνει ότι ProjectSauron έχει αρχίσει να λειτουργεί από τον Ιούνιο του 2011 και παραμένει ενεργό το 2016. Άγνωστο παραμένει το αρχικό μέσο«μόλυνσης» που χρησιμοποιείται από το ProjectSauron, για να διεισδύσει στα δίκτυα των θυμάτων του.

«Πολλές στοχευμένες επιθέσεις βασίζονται πλέον σε χαμηλού κόστους κι άμεσα διαθέσιμα εργαλεία. Το ProjectSauron, αντίθετα, είναι ένας από εκείνους τους φορείς που βασίζονται σε αυτοσχέδια, αξιόπιστα εργαλεία και προσαρμόσιμο κώδικα. Σχετικά νέα είναι η χρήση μοναδικών δεικτών, όπως ο control server, τα κλειδιά κρυπτογράφησης και άλλα, πέρα από την υιοθέτηση προηγμένων τεχνικών από άλλους σημαντικούς απειλητικούς φορείς. Ο μόνος τρόπος για να ανταπεξέλθουμε σε αυτές τις απειλές είναι να διαθέτουμε πολλαπλά επίπεδα ασφάλειας, που να βασίζονται σε μια αλυσίδα αισθητήρων, οι οποίοι θα παρακολουθούν ακόμη και την παραμικρή «ανωμαλία» στη ροή εργασιών. Αυτό θα πρέπει να ενισχυθεί με πληροφόρηση γύρω από τις απειλές ασφάλειας και διαδικασίες εγκληματολογικής ανάλυσης, ώστε να εντοπίζονται πρότυπα συμπεριφοράς, ακόμη κι όταν φαίνεται να μην υπάρχουν», δήλωσε ο Vitaly Kamluk, Principal Security Researcher της Kaspersky Lab.

Με βάση το κόστος, την πολυπλοκότητα, την επιμονή και τον απώτερο στόχο της επιχείρησης, δηλαδή την υποκλοπή εμπιστευτικών και απόρρητων πληροφοριών από ευαίσθητους κρατικούς οργανισμούς, συνιστούν τη συμμετοχή ή την υποστήριξη ενός κράτους.

Οι ειδικοί ασφάλειας της Kaspersky Lab συνιστούν στους οργανισμούς να προβούν σε ενδελεχή έλεγχο των δικτύων πληροφορικής και των τερματικών τους, καθώς και να εφαρμόσουν τα ακόλουθα μέτρα:

• Να εισάγουν μία λύση anti-targeted attack, η οποία θα λειτουργεί μαζί με μια νέα ή υφιστάμενη λύση προστασίας τερματικών. Από μόνη της, μια λύση για την προστασία των τερματικών δεν είναι αρκετή για να αντέξει τη νέα γενιά των απειλητικών φορέων.
• Να απευθυνθούν σε ειδικούς, αν εντοπιστεί η οποιαδήποτε ανωμαλία στην τεχνολογική τους υποδομή. Οι πιο προηγμένες λύσεις ασφάλειας θα είναι σε θέση να εντοπίζουν μια επίθεση, ακόμη και τη στιγμή που γίνεται, οι επαγγελματίες της ασφάλειας είναι μερικές φορές οι μόνοι που μπορούν αποτελεσματικά να εμποδίσουν, να αμβλύνουν και να αναλύσουν μεγάλες επιθέσεις.
• Να συμπληρώνουν τα παραπάνω μέτρα με υπηρεσίες πληροφόρησης σε σχέση με τις απειλές. Έτσι, τα στελέχη των οργανισμών που έχουν την ευθύνη για την ψηφιακή ασφάλειας θα είναι πλήρως ενημερωμένα για τις τελευταίες εξελίξεις στο τοπίο των απειλών, τις τάσεις στον τομέα των ψηφιακών επιθέσεων και τα σημάδια που πρέπει να προσεχθούν.
• Δεδομένου ότι πολλές μεγάλες επιθέσεις ξεκινούν μέσω ενεργειών spear-phishing ή κάποιας άλλης προσέγγισης προς τους εργαζομένους, οι οργανισμοί οφείλουν να βεβαιωθούν ότι το προσωπικό τους κατανοεί και υιοθετεί υπεύθυνες ψηφιακές συμπεριφορές.

Η πλήρης έκθεση για το ProjectSauron είναι ήδη διαθέσιμη στους πελάτες της υπηρεσίας πληροφόρησης Kaspersky Lab APT Intelligence. Περισσότερες πληροφορίες είναι διαθέσιμες στην ηλεκτρονική διεύθυνση: http://www.kaspersky.com/enterprise-security/apt-intelligence-reporting.

Οι δείκτες παραβίασης και οι κανόνες YARA είναι διαθέσιμοι.

Όλα τα προϊόντα της Kaspersky Lab εντοπίζουν δείγματα της απειλής ProjectSauron, με την κωδική ονομασία HEUR: Trojan.Multi.ProjectSauron.gen.

Περισσότερες πληροφορίες σχετικά με το ProjectSauron είναι διαθέσιμες σε ειδικό blogpost, στο Securelist.com.

Περισσότερες πληροφορίες για το πώς τα προϊόντα της Kaspersky Lab μπορούν να προστατεύσουν τους χρήστες από την απειλή αυτή, είναι διαθέσιμες στην ιστοσελίδα της KasperskyLab.

Έρευνα έχει ξεκινήσει η Yahoo προκειμένου να διαπιστωθεί εάν είναι βάσιμοι οι ισχυρισμοί ότι υπήρξε παραβίαση στα συστήματά της με αποτέλεσμα να κλαπούν τα στοιχεία εκατομμυρίων λογαριασμών.

Συγκεκριμένα, ένας χάκερ, ο οποίος φέρεται ότι συνδέεται και με άλλες παραβιάσεις συστημάτων στο MySpace και το LinkedIn, δημοσίευσε στο dark web λεπτομέρειες των στοιχείων 200 εκατομμυρίων λογαριασμών του Yahoo. Τα ονόματα χρηστών, οι ημερομηνίες γέννησής τους καθώς και οι κωδικοί πρόσβασης προσφέρονται στη μαύρη αγορά του Διαδικτύου προς 3 bitcoin (ψηφιακό νομισμα), δηλαδή περίπου 1.600 ευρώ.

Χρησιμοποιώντας το όνομα Peace, ο χάκερ ισχυρίζεται ότι τα δεδομένα είναι «πιθανόν» από το 2012.

Η Yahoo σε ανακοίνωσή της αναφέρει ότι έχει πάρει την υπόθεση «πολύ σοβαρά» και έχει κάνει «όλα τα απαραίτητα βήματα προκειμένου να διερευνήσει τα γεγονότα».

«Η Yahoo εργάζεται σκληρά για την ασφάλεια των χρηστών της και πάντα ενθαρρύνουμε τους χρήστες μας να δημιουργούν ισχυρούς κωδικούς πρόσβασης και να χρησιμοποιούν διαφορετικούς κωδικούς για διαφορετικές πλατφόρμες», αναφέρεται στην ανακοίνωση της εταιρείας.

Όπως αναφέρει σε δημοσίευμά του το βρετανικό ειδησεογραφικό δίκτυο BBC, η εταιρεία ασφαλείας Motherboard, η οποία και ανακάλυψε πρώτη την παραβίαση, απέκτησε ένα μικρό δείγμα των δεδομένων, περίπου 5.000 εγγραφές και πραγματοποίησε δοκιμές προκειμένου να διαπιστωθεί εάν αντιστοιχούν σε πραγματικούς λογαριασμούς της υπηρεσίας ηλεκτρονικής αλληλογραφίας της Yahoo. Όπως διαπιστώθηκε, σχεδόν όλα από τα 24 πρώτα ονόματα χρηστών της Yahoo αντιστοιχούσαν σε αληθινούς λογαριασμούς.

Ωστόσο, οι προσπάθειες των ανθρώπων της Motherboard να επικοινωνήσουν με τα άτομα στα οποία ανήκαν 100 διαφορετικές διευθύνσεις έπεσαν στο κενό καθώς το μήνυμα που λάμβαναν ήταν ότι οι λογαριασμοί είχαν απενεργοποιηθεί. Αυτό θα μπορούσε να υποδηλώνει ότι τα δεδομένα είναι παλιά.

«Ακόμα προσπαθούμε να διαπιστώσουμε εάν όλη αυτή η υπόθεση είναι αληθινή ή όχι», δήλωσε εκπρόσωπος της Motherboard στο BBC.

ΠΗΓΗ:

ICT plus με πληροφορίες από imerisia.gr

Από την ανίχνευση του πρώτου κρούσματος Nymaim το 2013, έχουν καταγραφεί πάνω από 2,8 εκατομμύρια περιπτώσεις μολύνσεων μέσω τoυ μηχανισμού «kill chain» και τεχνικών αποφυγής του εντοπισμού. Κατά το πρώτο εξάμηνο του 2016, η ESET παρατήρησε και πάλι μια σημαντική αύξηση στην ανίχνευση του Nymaim.

Επηρεάζοντας κυρίως την Πολωνία (54% των ανιχνεύσεων), τη Γερμανία (16%) και τις Ηνωμένες Πολιτείες (12%), η ανανεωμένη παραλλαγή ανιχνεύθηκε ως Win32/TrojanDownloader.Nymaim.BA, κάνοντας την επανεμφάνιση της ως μια ολοκληρωμένη εκστρατεία spearfishing με ένα κακόβουλο συνημμένο (Word .doc) που περιέχει «παραπλανητικά» Marcos. Η προσέγγιση που χρησιμοποιείται  για την παράκαμψη των προεπιλεγμένων ρυθμίσεων ασφαλείας του Microsoft Word μέσω μηχανισμών κοινωνικής μηχανικής, είναι αρκετά πειστική στις αγγλικές εκδόσεις του MS Word.

«Με προηγμένες τεχνικές αποφυγής του εντοπισμού, και δυνατότητες anti-VM, anti-debugging και control flow, αυτό το downloader που λειτουργεί σε δύο στάδια μεταφέροντας ransomware ως τελικό ωφέλιμο φορτίο, έχει πλέον εξελιχθεί και χρησιμοποιείται για να μεταφέρει spyware», λέει ο Cassius de Oliveira Puodzius, Security Researcher της ESET Latinoamerica.

Τον Απρίλιο, η συγκεκριμένη έκδοση ενώθηκε με υβριδική παραλλαγή του Nymaim και του Gozi, στοχεύοντας χρηματοπιστωτικά ιδρύματα στη Βόρεια Αμερική, ενώ εξαπλώθηκε και στη Λατινική Αμερική, κυρίως στη Βραζιλία. Αυτή η παραλλαγή έχει δώσει στους κυβερνοεγκληματίες τη δυνατότητα απομακρυσμένης πρόσβασης στους παραβιασμένους υπολογιστές, αντί να έχει τα συνήθη αποτελέσματα κρυπτογράφησης αρχείων ή κλειδώματος.

Λόγω των ομοιοτήτων μεταξύ των στόχων που βρίσκονται σε χώρες με υψηλά και χαμηλά ποσοστά ανίχνευσης, μπορούμε να είμαστε σχετικά σίγουροι ότι τα χρηματοπιστωτικά ιδρύματα παραμένουν στο επίκεντρο αυτής της εκστρατείας.

«Η πλήρης καταγραφή αυτής της απειλής είναι ακόμα σε εξέλιξη. Ωστόσο, εάν υποψιάζεστε ότι ο υπολογιστής ή το δίκτυό σας έχει παραβιαστεί, σας συνιστούμε να ελέγξετε κατά πόσο οι διευθύνσεις IP και URL, που βρίσκονται στο πλήρες άρθρο, δεν βρίσκονται στο firewall και στα στοιχεία σύνδεσης με το διακομιστή μεσολάβησης. Σε κάθε περίπτωση, μπορεί να εφαρμοστεί μια στρατηγική πρόληψης από την απειλή βάζοντας σε blacklist τις IP που έχουν έρθει σε επαφή με αυτό το malware στο firewall και τις διευθύνσεις URL στο proxy, εφόσον το δίκτυό σας υποστηρίζει αυτό το είδος φιλτραρίσματος», καταλήγει ο Puodzius.

Όλη η ανάλυση είναι διαθέσιμη στο ενημερωτικό blog της ESET, Welivesecurity.com.