Analytický tým Kaspersky Lab (GReAT) objevil „CozyDuke“ – novou vyspělou kybernetickou špionážní kampaň využívající malware, který útočí na velice specifické a významné cíle. Ve Spojených státech se zaměřil na Bílý dům a Ministerstvo zahraničí, v Německu, Jižní Koreji a Uzbekistánu mimo jiné na vládní organizace a komerční subjekty. (TZ)
Hrozba má kromě přesného cílení na významné oběti i další znepokojující a zároveň fascinující rysy, mezi něž patří šifrovací funkce a funkce zabraňující odhalení. Kód například vyhledává přítomnost řady bezpečnostních produktů s cílem se jim vyhnout – konkrétně jde o řešení Kaspersky Lab, Sophos, DrWeb, Avira, Crystal a Comodo Dragon.
Spojení s dalšími kyberšpionážními útočníky
Analytici Kaspersky Lab zaznamenali silnou škodlivost tohoto malwaru a strukturální podobnost s nástroji kyberšpionážních kampaní MiniDuke, CosmicDuke a OnionDuke. Ty jsou podle mnoha náznaků vedeny rusky mluvícími útočníky. Ukazuje se, že MiniDuke i CosmicDuke jsou stále aktivní a útočí na diplomatické organizace a ambasády, energetické a petrolejářské firmy, telekomunikace, zbrojní sektor a akademické a výzkumné instituce v řadě zemí.
Způsob šíření
CozyDuke často využívá spearphishingu pomocí e-mailů s odkazem na hacknutý web – někdy i významné a legitimní, například diplomacy.pl – na nichž je ZIP archiv napadený malwarem. V jiných případech rozesílá v přílohách falešná flash videa se škodlivými spustitelnými kódy.
CozyDuke využívá backdoor a dropper. Škodlivý program rozešle informaci o cíli kontrolnímu serveru a získá konfigurační soubory a další moduly implementující přídavné funkce, které útočníci potřebují.
„Monitorovali jsme MiniDuke a CosmicDuke několik let. Kaspersky Lab v roce 2013 varovala před MiniDukem jako první, přičemž nejstarší známé vzorky hrozby se datovaly do roku 2008. CozyDuke je definitivně spojený s těmito dvěma kampaněmi, stejně jako s kyberšpionážní operací OnionDuke. Všechny hrozby stále sledují své cíle a jsme přesvědčeni, že byly vytvořeny a kontrolovány rusky mluvícími útočníky,“ řekl Kurt Baumgartner, vrchní analytik GReAT týmu Kaspersky Lab.
Kaspersky Lab doporučuje svým uživatelům držet se následujících tipů:
- Neotvírejte přílohy a odkazy od neznámých lidí.
- Pravidelně kontrolujte svůj počítač vyspělým antimalwarovým řešením.
- Mějte povědomí o ZIP archivech obsahujících SFX soubory.
- Pokud si nejste přílohou jisti, zkuste ji otevřít v sandboxu.
- Mějte moderní operační systém se všemi aktualizacemi.
- Aktualizujte všechny aplikace třetích stran, jako jsou Microsoft Office, Java, Adobe Flash Player a Adobe Reader.
Více informací o operaci „CozyDuke“ si přečtete na blogu Securelist.com.
O společnosti Kaspersky Lab
Kaspersky Lab je největším soukromě vlastněným poskytovatelem koncových bezpečnostních řešení na světě. Společnost se řadí mezi čtyři největší prodejce bezpečnostních řešení pro koncové uživatele.* Již více než 17 let patří Kaspersky Lab mezi přední inovátory v oblasti informačních technologií a poskytuje efektivní digitální bezpečnostní řešení velkým podnikům, malým a středním firmám i domácím uživatelům. Aktuálně společnost registrovaná ve Velké Británii působí v bezmála 200 zemích a oblastech a poskytuje ochranu více než 400 milionům uživatelů. Více informací o společnosti Kaspersky Lab najdete na www.kaspersky.cz.
* Společnost zařadil na čtvrté místo žebříček „IDC Worldwide Endpoint Security Revenue by Vendor, 2013“. Žebříček vyšel ve zprávě „IDC Worldwide Endpoint Security 2014-2018 Forecast and 2013 Vendor Shares (IDC #250210, August 2014)“ a řadil poskytovatele software podle zisku z prodeje koncových bezpečnostních řešení v roce 2013.