Grupa sajber špijuna koristi popularnu aplikaciju za razmenu poruka za ciljane napade na centralnoazijske diplomatske subjekte

Kaspersky Lab

Istraživači kompanije Kaspersky Lab otkrili su talas sajber špijunaža usmerenih ka diplomatskim organizacijama u centralnoj Aziji.

Trojan nazvan ,,Octopus“, prerušen u verziju popularnog i legitimnog onlajn programa za razmenu poruka, privukao je korisnike zbog vesti o mogućoj zabrani aplikacije Telegram u regionu. Jednom instaliran, Octopus je obezbedio napadačima udaljeni pristup računarima žrtava.

Akteri pretnji neprestano traže moderne trendove koje mogu iskoristiti i prilagođavaju svoje metode kako bi ugrozili privatnost korisnika i osetljive informacije širom sveta. U ovom slučaju, moguća zabrana naširoko korišćene aplikacije Telegram, za razmenu poruka, omogućila je akterima pretnji da planiraju napade koristeći Octopus Trojan, naknadno obezbedivši hakerima pristup računaru žrtve sa udaljenosti.

Akteri pretnje distribuirali su malver Octopus unutar arhive i prikrili ga kao alternativnu verziju Telegram programa za razmenu poruka za kazahstansku opoziciju. Lanser je bio prikriven prepoznatljivim simbolom jedne od opozicionih političkih partija iz regiona, a Trojan je bio skriven unutar aplikacije. Kada je aktiviran, Trojan je akterima iza malvera pružio priliku za obavljanje raznih operacija sa podacima na zaraženom računaru, uključujući, ali ne ograničeno na, brisanje, blokiranje, modifikacije, kopiranje i preuzimanje. Stoga su napadači mogli da špijuniraju žrtve, ukradu osetljive podatke i dobiju pristup sistemu putem bekdora. Šema ima neke sličnosti sa ozloglašenom operacijom sajber špijunaže pod nazivom Zoo Park, u kojoj je malver koji je korišćen za APT imitirao Telegram aplikaciju kako bi špijunirao žrtve.

Koristeći Kaspersky algoritme koji prepoznaju sličnosti u softverskom kodu, istraživači bezbednosti otkrili su da Octopus može imati veze sa akterom sajber špijunaže iz ruskog govornog područja – DustSquad, koji je ranije otkriven u zemljama bivšeg SSSR-a u Centralnoj Aziji, kao i u Avganistanu od 2014. godine. Tokom prethodne dve godine su istraživači otkrili četiri njihove kampanje sa malverima prilagođenim za sisteme Android i Windows, usmerenim i na privatne korisnike i na diplomatske subjekte.

,,Videli smo mnoge pretnje koje su ciljale diplomatske subjekte u Centralnoj Aziji u 2018. godini. DustSquad već nekoliko godina radi u regionu i može biti grupa koja se nalazi iza ove nove pretnje. Očigledno, interesovanje za sajber afere ovog regiona stalno raste. Savetujemo korisnicima i organizacijama u regionu da prate svoje sisteme i upute zaposlene da čine isto to“, kaže Denis Legezo, bezbednosni istraživač u kompaniji Kaspersky Lab.

Da bi se smanjio rizik od sofisticiranih sajber napada, kompanija Kaspersky Lab preporučuje primenu sledećih mera:

  • Edukujte osoblje o digitalnoj higijeni i objasnite kako da prepoznaju i izbegnu potencijalne zlonamerne aplikacije ili datoteke. Na primer, zaposleni ne bi trebalo da preuzimaju i pokreću nikakve aplikacije ili programe iz nepouzdanih ili nepoznatih izvora.
  • Koristite snažno bezbednosno rešenje za krajnje tačke koje ima funkciju kontrole aplikacija/Application Control koja ograničava mogućnost aplikacije da pokrene ili pristupi kritičnim sistemskim resursima.
  • Uvedite skup rešenja i tehnologija protiv ciljanih napada kao što su Kaspersky Anti Targeted Attack Platform i Kaspersky EDR. Oni mogu pomoći da otkrijete zlonamerne aktivnosti na mreži i efektivno istražite i odgovorite na napade blokiranjem njihovog progresa.
  • Uverite se da vaš bezbednosni tim ima pristup profesionalnom rešenju za informacije o prenjama.