Mokslas ir IT

2019.10.04 11:29

Naujasis „Lazarus“ šnipinėjimo įrankis nusitaikė į finansų įstaigas ir tyrimų centrus

bandė įsiskverbti į bankomatų tinklą
LRT.lt2019.10.04 11:29

„Kaspersky“ pasaulinė mokslinių tyrimų ir analizės grupė atrado naują šnipinėjimo įrankį, kuris buvo pastebėtas Indijos finansų įstaigose ir tyrimų centruose. „Dtrack“ šnipinėjimo programą, kaip pranešama, sukūrė „Lazarus“ grupė. Ši programa yra naudojama, kad į aukų sistemas būtų galima įkelti ir atsiųsti failus, įrašyti klavišų paspaudimus ir atlikti kitus veiksmus, kurie būdingi kenkėjiškiems nuotolinės prieigos įrankiams (RAT), rašoma pranešime žiniasklaidai.

2018 m. „Kaspersky“ tyrėjai atrado „ATMDtrack“ – kenkėjišką programą, kuri buvo sukurta, kad įsiskverbtų į Indijos bankomatus ir pavogtų klientų kortelių duomenis. Atlikę papildomą tyrimą, tyrėjai aptiko daugiau nei 180 naujų kenkėjiškų programų pavyzdžių, kurie turėjo kodų sekų panašumus su „ATMDtrack“, tačiau nebuvo skirti bankomatams.

Šių programų funkcijų sąrašas leido jas priskirti prie šnipinėjimo įrankių – dabar žinomų kaip „Dtrack“. Be to, abi programos turėjo panašumų su 2013 m. „DarkSeoul“ kampanija, kuri buvo susieta su „Lazarus“ – liūdnai pagarsėjusiu sudėtingų grėsmių vykdytoju, kuris atsakingas už daugybę kibernetinio šnipinėjimo ir elektroninio sabotažo operacijų.

„Dtrack“ gali būti naudojamas kaip nuotolinės prieigos įrankis (RAT), suteikiantis grėsmės vykdytojams pilną užkrėsto įrenginio kontrolę. Tada nusikaltėliai gali atlikti įvairias operacijas, pavyzdžiui, įkelti ir atsiųsti failus bei vykdyti pagrindinius procesus.

Organizacijos, kuriomis susidomėjo „Dtrack“ RAT įrankį naudojantys kibernetiniai nusikaltėliai, dažnai pasižymi silpna tinklo saugumo politika. Jeigu šnipinėjimo programa įdiegiama sėkmingai, ji gali registruoti visus turimus failus, vykdomus procesus, pagrindinius prisijungimus, naršyklės istoriją ir pagrindinio kompiuterio IP adresus, įskaitant informaciją apie galimus tinklus ir aktyvius ryšius.

„Lazarus yra gana neįprasta kibernetinių nusikaltėlių grupė. Viena vertus, kaip ir daugelis kitų panašių grupių, didžiausią dėmesį jie skiria kibernetiniam šnipinėjimui ar sabotažo operacijų vykdymui. Tačiau, kita vertus, taip pat nustatyta, kad jie daro įtaką išpuoliams, kuriais aiškiai siekiama finansinės naudos. O tai yra nebūdinga tokio aukšto lygio grėsmės vykdytojui, nes paprastai kitos grupės, vykdydamos savo veiklą, neturi finansinių motyvų. Didelis „Dtrack“ pavyzdžių skaičius, kurį aptikome, rodo, kad „Lazarus“ yra viena iš aktyviausių APT grupių. Tai nuolatos besivystanti ir tobulėjanti grėsmė, kuri siekia paveikti didelio masto pramonės šakas. Sėkmingas „Dtrack“ RAT platinimas įrodo, kad net tada, kai kibernetinė grėsmė pradingsta, ją visada galima prikelti kitu pavidalu ir atakuoti naujus taikinius. Net jeigu esate tik paprastas tyrimų centras arba finansinė organizacija, veikianti tik komerciniame sektoriuje ir neturinti jokių vyriausybinių filialų, vis tiek turėtumėte apsvarstyti galimybę, kad jumis gali susidomėti aukšto lygio grėsmės vykdytojai, todėl turite atitinkamai tam pasiruošti“, – situaciją komentavo Andis Steinmanis, Kaspersky vadovas Baltijos šalims.