Grabit: Εκστρατεία ψηφιακής κατασκοπίας εναντίον μικρομεσαίων επιχειρήσεων

ramnit-header-imagecredsymantec

Η Kaspersky Lab ανακάλυψε πρόσφατα το Grabit, μια νέα ψηφιακή εκστρατεία εταιρικής κατασκοπείας που έχει καταφέρει να υποκλέψει περίπου 10.000 αρχεία από μικρομεσαίες επιχειρήσεις, οι οποίες βρίσκονταν κυρίως στην Ταϊλάνδη, την Ινδία και τις ΗΠΑ. Οι εταιρείες που στοχοποιήθηκαν από το Grabit δραστηριοποιούνταν σε διάφορους τομείς, όπως: χημικά προϊόντα, νανοτεχνολογία, εκπαίδευσης, γεωργική παραγωγή, ΜΜΕ, κατασκευές κ.α.

Επίσης, η εκστρατεία έδρασε και στα Ηνωμένα Αραβικά Εμιράτα, τη Γερμανία, το Ισραήλ, τον Καναδά, τη Γαλλία, την Αυστρία, τη Σρι Λάνκα, τη Χιλή και το Βέλγιο.

Όπως δήλωσε ο Ido Noar, Senior Security Researcher της Παγκόσμιας Ομάδας Έρευνας και Ανάλυσης της Kaspersky Lab.

“Βλέπουμε πολλές εκστρατείες κατασκοπείας να εστιάζουν σε μεγάλες επιχειρήσεις, κρατικούς και άλλους σημαντικούς οργανισμούς. Οι μικρές και μεσαίες επιχειρήσεις σπάνια βρίσκονται μεταξύ των στόχων αυτών των επιθέσεων. Ωστόσο, το Grabit αποδεικνύει ότι στον ψηφιακό κόσμο, κάθε οργανισμός, ασχέτως αν διαθέτει κεφάλαια, σημαντικές πληροφορίες ή πολιτική επιρροή, μπορεί εν δυνάμει να τραβήξει το ενδιαφέρον κάποιου κακόβουλου φορέα. Η εκστρατεία Grabit είναι ακόμα ενεργή, γι’ αυτό είναι εξαιρετικά σημαντικό οι επιχειρήσεις να ελέγχουν τα δίκτυα τους, ώστε να παραμείνουνε ασφαλείς. Στις 15 Μαΐου, ένα απλό keylogger του Grabit βρέθηκε να έχει στην κατοχή του χιλιάδες στοιχεία σύνδεσης λογαριασμών θυμάτων από εκατοντάδες «μολυσμένα» συστήματα. Η απειλή αυτή δεν πρέπει να υποτιμηθεί.”

Η «μόλυνση» ξεκινά όταν ένας χρήστης σε κάποια επιχείρηση λαμβάνει ένα email με ένα συνημμένο αρχείο που μοιάζει με αρχείο Word (.doc). Όταν ο χρήστης «κατεβάσει» το έγγραφο, το κατασκοπευτικό πρόγραμμα εισέρχεται στον υπολογιστή από έναν απομακρυσμένο server, ο οποίος έχει παραβιαστεί από την ομάδα Grabit, ώστε να χρησιμοποιείται ως κόμβος κακόβουλου λογισμικού. Οι επιτιθέμενοι ελέγχουν τα θύματά τους, χρησιμοποιώντας το keylogger HawkEye (ένα εμπορικό εργαλείο κατασκοπείας από τη HawkEyeProducts) και μια μονάδα διαμόρφωσης που περιέχει μια σειρά Εργαλείων Απομακρυσμένης Διαχείρισης.

Σύμφωνα με τους ειδικούς της Kaspersky Lab, ενδεικτικό του μεγέθους της εκστρατείας είναι ότι ένα keylogger σε έναν μόνο από τους command-and-control serversκατάφερε να υποκλέψει 2.887 κωδικούς πρόσβαση, 1.053 μηνύματα και 3.023 ονόματα χρηστών από 4.928 διαφορετικούς hosts, εσωτερικά και εξωτερικά, ανάμεσα στους οποίους και το Outlook, το Facebook, το Skype, το GMail, το Pinterest, το Yahoo, το LinkedIn και το Twitter. Επίσης, κατάφερε να υποκλέψει στοιχεία τραπεζικών λογαριασμών και άλλες πληροφορίες.

Μια ετερόκλητη ομάδα ψηφιακών εγκληματιών

Η ομάδα πίσω από το Grabit δεν κάνει κάποια επιπλέον προσπάθεια, ώστε να αποκρύψει τη δραστηριότητα της, όπως γίνεται σε άλλες περιπτώσεις. Κάποια κακόβουλα δείγματα χρησιμοποιούσαν τον ίδιο host server, ακόμη και τα ίδια στοιχεία σύνδεσης, βάζοντας σε κίνδυνο την ίδια τους τη δραστηριότητα και ασφάλεια. Από την άλλη όμως, οι επιτιθέμενοι χρησιμοποιούν ισχυρές τεχνικές άμβλυνσης για να κρατήσουν τον κώδικα τους κρυμμένο από τους αναλυτές. Αυτό οδηγεί την Kaspersky Lab να πιστεύει ότι πίσω από τις δραστηριότητες του Grabit βρίσκεται μια ετερόκλητη ομάδα, με ορισμένα μέλη της να διαθέτουν περισσότερες τεχνικές γνώσεις από άλλα και να είναι περισσότερο συγκεντρωμένα στο να κάνουν δύσκολο τον εντοπισμό τους. Η ανάλυση των ειδικών δείχνει ότι όποιος προγραμμάτισε το κακόβουλο λογισμικό δεν έγραψε όλο τον κώδικα από την αρχή.

Για την προστασία από τον Grabit, η Kaspersky Lab προτείνει στις επιχειρήσεις:

  • Να ελέγχουν τις τοποθεσίες C:\Users\<PC-NAME>\AppData\Roaming\Microsoft, για να δουν αν περιέχουν εκτελέσιμα αρχεία, καθώς μπορεί να έχει γίνει εισβολή κακόβουλου λογισμικού. Αυτό είναι κάτι βασικό που δεν πρέπει να αγνοηθεί.
  • Να ελέγξουν τις Ρυθμίσεις Παραμέτρων Συστήματος των Windows μέσω τις διαδικασίας “msconfig”, ώστε να διασφαλίσουν ότι δεν υπάρχει το αρχείο grabit1.exe στον πίνακα εκκίνησης.
  • Να διασφαλίσουν ότι δεν ανοίγονται συνημμένα αρχεία και link από άγνωστους αποστολείς. Αν κάποιος χρήστης δεν μπορεί να ανοίξει ένα αρχείο, δεν πρέπει να το προωθήσει σε άλλους, αλλά να ζητήσει τη βοήθεια του τμήματος Πληροφορικής.
  • Να χρησιμοποιούν μια προηγμένη και ενημερωμένη anti-malware λύση, και να ακολουθούν πάντα την antivirusλίστα εργασιών για ύποπτες διαδικασίες.

Περισσότερες πληροφορίες σχετικά με το Grabit είναι διαθέσιμες στον ιστότοπο Securelist.com.

 

This entry was posted in Internet, Misc and tagged , . Bookmark the permalink.