Η Kaspersky Lab εντόπισε μια σπάνια και ασυνήθιστη περίπτωση επίθεσης από έναν ψηφιακό εγκληματία σε έναν άλλον. Το 2014, η Hellsing, μία μικρή και μέτρια τεχνικά ομάδα ψηφιακής κατασκοπείας που στόχευε κυρίως κυβερνήσεις και διπλωματικούς οργανισμούς στην Ασία, δέχτηκε επίθεση spearphishing από κάποιον άλλο παράγοντα online απειλών και αποφάσισε να αντεπιτεθεί. Η Kaspersky Lab πιστεύει ότι αυτό θα μπορούσε να σηματοδοτήσει την εμφάνιση μιας νέας τάσης στην ψηφιακή εγκληματικότητα: τους «APT πολέμους».
Η ανακάλυψη έγινε από τους ειδικούς της Kaspersky Lab, στο πλαίσιο έρευνας σχετικά με την δραστηριότητα της Naikon, μιας ομάδας ψηφιακής κατασκοπείας που δρούσε επίσης στην περιοχή Ασίας – Ειρηνικού. Οι ειδικοί παρατήρησαν ότι ένας από τους στόχους είχε εντοπίσει το γεγονός ότι η ομάδα Naikon προσπάθησε να «μολύνει» τα συστήματα του, μέσω ενός spearphishing email που μετέφερε ένα κακόβουλο συνημμένο αρχείο.
Ο στόχος αμφισβήτησε τη γνησιότητα του email απευθυνόμενος στον αποστολέα και προφανώς δυσαρεστημένος με την απάντηση που έλαβε, δεν άνοιξε το συνημμένο αρχείο. Λίγο αργότερα, ο στόχος διαβίβασε στον αποστολέα ένα email που περιείχε το κακόβουλο λογισμικό του ίδιου του στόχου. Αυτή η κίνηση πυροδότησε την έρευνα της Kaspersky Lab και οδήγησε στην ανακάλυψη της ΑΡΤ (Advanced Persistent Threat) ομάδας Hellsing.
Η μέθοδος της αντεπίθεσης δείχνει ότι η ομάδα Hellsing ήθελε να αναγνωρίσει την ομάδα Naikon και να συλλέξει πληροφορίες γιΆ αυτή.
Προχωρώντας σε βαθύτερη ανάλυση του φορέα Hellsing, η Kaspersky Lab ανακάλυψε μια σειρά μηνυμάτων spearphishing με κακόβουλα συνημμένα αρχεία, τα οποία είχαν σχεδιαστεί για να διαδώσουν κακόβουλο λογισμικό κατασκοπείας σε διάφορους οργανισμούς. Αν το θύμα ανοίξει το κακόβουλο συνημμένο αρχείο, το σύστημά του «μολύνεται» με ένα προσαρμοσμένο backdoor, το οποίο μπορεί να «κατεβάζει» και να «ανεβάζει» αρχεία, να ενημερώνεται και να απεγκαθίσταται μόνο του. Σύμφωνα με τις παρατηρήσεις της Kaspersky Lab, ο αριθμός των οργανισμών που αποτέλεσαν στόχο της Hellsing πλησίασε τους 20.
Οι στόχοι της Hellsing
Η Kaspersky Lab έχει εντοπίσει και εμποδίσει κακόβουλο λογισμικό της Hellsing στη Μαλαισία, τις Φιλιππίνες, την Ινδία, την Ινδονησία και τις ΗΠΑ, με τα περισσότερα θύματα να βρίσκονται στη Μαλαισία και τις Φιλιππίνες. Οι επιτιθέμενοι είναι επίσης πολύ επιλεκτικοί σε σχέση με το είδος των οργανισμών που στοχεύουν, επιδιώκοντας να «μολύνουν» κυρίως κυβερνητικούς και διπλωματικούς οργανισμούς.
«Το γεγονός ότι η ομάδα Hellsingέβαλε στο στόχαστρο την ομάδα Naikon, μπορεί να χαρακτηριστεί ως ένα είδος εκδικητικού «κυνηγιού βρικολάκων». Αυτό από μόνο του κάνει την επίθεση «συναρπαστική» για τους ερευνητές. Στο παρελθόν, είχαμε δει κάποιες APT ομάδες να επιτίθενται κατά λάθος η μία στην άλλη, κλέβοντας παράλληλα ατζέντες διευθύνσεων από τα θύματα και στη συνέχεια να αποστέλλουν μαζική αλληλογραφία σε όλους όσους βρίσκονται καταχωρημένοι στις λίστες αυτές. Ωστόσο, λαμβάνοντας υπόψη τη στόχευση και την προέλευση της επίθεσης, φαίνεται πιο πιθανό ότι αυτό είναι ένα παράδειγμα σκόπιμης επίθεσης από μια ΑΡΤ ομάδα σε μια άλλη», δήλωσε ο Costin Raiu, Director της Παγκόσμιας Ομάδας Έρευνας και Ανάλυσης της Kaspersky Lab.
Σύμφωνα με την ανάλυση της Kaspersky Lab, ο φορέας απειλής Hellsing είναι – και παραμένει – ενεργός τουλάχιστον από το 2012.
Προστασία
Για την προστασία απέναντι στις επιθέσεις της ομάδας Hellsing, η Kaspersky Lab προτείνει τις παρακάτω βασικές βέλτιστες πρακτικές ασφάλειας:
- Μην ανοίγετε ύποπτα συνημμένα αρχεία από αποστολείς που δεν γνωρίζετε
- Δείξτε προσοχή σε αρχεία που προστατεύονται με κωδικό πρόσβασης και περιέχουν αρχεία SCR ή άλλα εκτελέσιμα αρχεία
- Αν δεν είστε βέβαιοι για το συνημμένο αρχείο, δοκιμάστε να το ανοίξετε σε περιβάλλον sandbox
- Βεβαιωθείτε ότι διαθέτετε ένα ενημερωμένο λειτουργικό σύστημα, με όλα τα απαραίτητα patches εγκατεστημένα
- Να ενημερώνετε όλες τις εφαρμογές τρίτων, όπως το Microsoft Office, η Java, το Adobe Flash Player και το Adobe Reader
Τα προϊόντα της Kaspersky Lab εντοπίζουν και εμποδίζουν το κακόβουλο λογισμικό που χρησιμοποιείται τόσο από τον φορέα Hellsing όσο και από τον Naikon.
Περισσότερες πληροφορίες είναι διαθέσιμες στον ιστότοπο Securelist.com.