Kaspersky Lab narazila na neobvyklý případ kybernetických útočníků napadajících jiné kybernetické zločince. V roce 2014 se malá nevýznamná kyberšpionážní skupina Hellsing, která napadala vládní a diplomatické organizace v Asii, stala terčem spear-phishingového útoku jiné skupiny a rozhodla se úder opětovat. Analytici Kaspersky Lab se domnívají, že to může naznačovat nový trend v kybernetické kriminalitě – APT války. (TZ)
Kaspersky Lab na konflikt narazila během výzkumu aktivit kybernetické špionážní skupiny Naikon, která také útočila v asijském a tichomořském regionu. Experti si všimli, že jeden z cílů Naikonu spozoroval pokus o infikování svého systému spear-phishingovým e-mailem se škodlivou přílohou. Cílová oběť nicméně zpochybnila u odesílatele autenticitu e-mailu, a protože nedostala uspokojivou odpověď, přílohu neotevřela. Krátce nato přeposlala odesílateli e-mail s vlastním malwarem. To vyvolalo vyšetřování Kaspersky Lab a vedlo k objevení APT skupiny Hellsing. Metoda zpětného útoku naznačuje, že Hellsing chtěla identifikovat skupinu Naikon a zjistit o ní více informací.
Hlubší analýza Hellsingu odhalila stopu spear-phishingových e-mailů se škodlivými přílohami, které měly rozšířit špionážní malware mezi různé organizace. Pokud oběť škodlivou přílohu otevřela, systém byl infikován upraveným backdoorem schopným stáhnout a nahrát soubory, aktualizovat se a odinstalovat se. Dle pozorování Kaspersky Lab se počet organizací napadených Hellsingem blíží dvěma desítkám.
Společnost odhalila a zablokovala malware Hellsing v Malajsii, na Filipínách, v Indii, Indonésii a USA. Nejvíce jich bylo v prvních dvou jmenovaných zemích. Útočníci si své cíle pečlivě vybírali a cílili hlavně na vládní a diplomatické subjekty. Záměrný boj mezi APT skupinami analytici považují za fascinující událost. Podle Kaspersky Lab byl Hellsing aktivní minimálně od roku 2012 a zůstává činný i nadále.
Kaspersky Lab doporučuje následující kroky, jak se chránit před útokem Hellsingu:
- Neotvírejte podezřelé přílohy od lidí, které neznáte.
- Buďte obezřetní u archivů chráněných heslem, které obsahují SCR nebo jiné spustitelné soubory.
- Pokud si přílohou nejste jisti, otevřete ji v sandboxu.
- Mějte moderní operační systém se všemi nainstalovanými záplatami.
- Aktualizujte všechny aplikace třetích stran, jako jsou Microsoft Office, Java, Adobe Flash Player a Adobe Reader.
Produkty Kaspersky Lab umí malware skupin Hellsing i Naikon úspěšně odhalit a zablokovat.
Více o Hellsingu a špionážní kampani „Impérium vrací úder“ se dočtete na blogu Securelist.com a také v tomto videu.
O společnosti Kaspersky Lab
Kaspersky Lab je největším soukromě vlastněným poskytovatelem koncových bezpečnostních řešení na světě. Společnost se řadí mezi čtyři největší prodejce bezpečnostních řešení pro koncové uživatele.* Již více než 17 let patří Kaspersky Lab mezi přední inovátory v oblasti informačních technologií a poskytuje efektivní digitální bezpečnostní řešení velkým podnikům, malým a středním firmám i domácím uživatelům. Aktuálně společnost registrovaná ve Velké Británii působí v bezmála 200 zemích a oblastech a poskytuje ochranu více než 400 milionům uživatelů. Více informací o společnosti Kaspersky Lab najdete na www.kaspersky.cz.
* Společnost zařadil na čtvrté místo žebříček „IDC Worldwide Endpoint Security Revenue by Vendor, 2013“. Žebříček vyšel ve zprávě „IDC Worldwide Endpoint Security 2014-2018 Forecast and 2013 Vendor Shares (IDC #250210, August 2014)“ a řadil poskytovatele software podle zisku z prodeje koncových bezpečnostních řešení v roce 2013.