Kaspersky Lab softver
Internet

Duke se vratio: otkrivena nova sajber pretnja – „CozyDuke”

Globalni tim za istraživanje i analizu kompanije Kaspersky Lab objavio je izveštaj u kojem je opisao novu i naprednu kampanju sajber špijunaže koja koristi malver da napada tačno određene mete visokog profila. Veruje se da su u SAD među metama i Bela kuća i Stejt Dipartment (State Department), dok su na meti napadača takođe i vladine organizacije i komercijalna lica u Nemačkoj, Južnoj Koreji i Uzbekistanu.   

Kaspersky Lab softver

Kaspersky Lab softver

Pored veoma preciznog targetiranja žrtava najvišeg profila, ova pretnja ispoljava druge zabranjivajuće, ali i fascinantne karakteristike. Među njima je i korišćenje kripto sposobnosti kao i sposobnosti da izbegne detekciju. Na primer, kod detektuje prisustvo određenih sigurnosnih programa kako bi pokušao da ih izbegne, među kojima su: Kaspersky Lab, Sophos, DrWeb, Avira, Crystal i Comodo Dragon.

Povezanost sa drugim akterima sajber špijunaže

Eksperti za sigurnost kompanije Kaspersky Lab otkrili su jaku funkcionalnost ovog štetnog programa, kao i strukturalne sličnosti koje su identične kao kod softverskih alata koji su prisutni kod kampanja sajber špijunaže kao što su MiniDuke, CosmicDuke i OnionDuke; operacije za koje se veruje, prema brojnim indikatorima, da njima rukovode akteri sa ruskog govornog područja. Na osnovu istraživanja koje je uradila kompanija Kaspersky Lab, uočeno je da su MiniDuke i CosmicDuke i dalje aktivni i da su im mete diplomatske organizacije/ambasade, energetske, naftne i gasne kompanije, telekomunikacione kompanije, vojska, kao i akademske i istraživačke organizacije u brojnim državama.

Način distribucije

CozyDuke najčešće gađa mete putem i-mejlova koji sadrže linkove ka zaraženom veb sajtu – nekada i sajtu visokog profila kao što je „diplomacy.pl” – koji sadrži ZIP arhivu preko koje se aktivira malver. Prilikom drugih, veoma uspešnih napada, on šalje lažan fleš video sa štetnim izvršnim fajlovima koji se nalaze u prilogu i-mejla.

CozyDuke koristi zadnja vrata (backdoor) i „dropper” komponentu. Štetni program šalje informacije o meti komandnom i kontrolnom serveru, a zatim preuzima konfiguracijske fajlove i dodatne module koji sprovode svu dodatnu funkcionalnost koja je neophodna napadačima.

„Posmatrali smo i MiniDuke i CosmicDuke već nekoliko godina. Kaspersky Lab je bio prvi koji je upozoravao o MiniDuke napadima 2013. godine, pri čemu „najstariji” zabeleženi primeri ove sajber pretnje datiraju još od 2008. godine. CozyDuke je definitivno povezan sa ove dve kampanje, kao i sa operacijom sajber špijunaže OnionDuke. Svaki od ovih virusa nastavlja da prati svoje mete, i mi verujemo da su svi ovi alati za špijunažu kreirani i da njima rukovode osobe sa ruskog govornog područja,” – tvrdi Kurt Baumgartner, glavni istraživač za bezbednost u okviru globalnog tima za istraživanje i analizukompanije Kaspersky Lab.

Proizvodi kompanije Kaspersky Lab detektuju sve poznate primere i štite korisnike od ove pretnje.

Saveti za korisnike

  • Ne otvarajte priloge i linkove od osoba koje ne poznajete
  • Redovno skenirajte vaš računar pomoću programa za zaštitu od malvera
  • Vodite računa o ZIP arhivama i SFX fajlovima koji se nalaze unutra
  • Ako niste sigurni u neki prilog, pokušajte da ga otvorite unutar sandbox-a
  • Proverite da li imate instaliran novi operativni sistem sa svim dodatnim drajverima i programima
  • Ažurirajte sve aplikacije trećih lica kao što su Microsoft Office, Java, Adobe Flash Player i Adobe Reader

Leave a Reply