Trojan podszywa się pod popularny komunikator internetowy

Przeczytaj także: Atakuje fałszywa MEGA do przeglądarki Chrome

O tym, że cyberprzestępcy nieustannie się doszkalają, śledzą trendy i dostosowują swoje metody tak, aby naruszać prywatność użytkowników i zdobywać poufne informacje, nie trzeba przekonywać już chyba nikogo. W opisywanym przypadku wykorzystali zakaz korzystania z komunikatora Telegram. Ta okoliczność pozwoliła im opracować trojana, który dostawał się do komputerów ofiar, zapewniając swoim twórcom zdalny dostęp do zainfekowanych zasobów.

Octopus był rozpowszechniany poprzez archiwum podszywające się pod rzekomą wersję komunikatora Telegram, stworzonego specjalnie dla kazachskich partii opozycyjnych. Moduł uruchamiający, który krył trojana, został zakamuflowany przy użyciu rozpoznawalnego symbolu jednej z opozycyjnych partii politycznych z tego regionu. Po aktywowaniu trojan umożliwiał cyberprzestępcom wykonywanie różnych operacji na danych znajdujących się w zainfekowanym komputerze, takich jak usuwanie, blokowanie, modyfikowanie, kopiowanie oraz pobieranie. Tym samym atakujący mogli szpiegować swoje ofiary, kraść poufne dane oraz otwierać „tylne drzwi” do systemów. W tym schemacie działań można wyróżnić kilka podobieństw do operacji cyberszpiegowskiej o nazwie Zoo Park, w której szkodliwe oprogramowanie wykorzystane w atakach podszywało się pod aplikację Telegram w celu szpiegowania ofiar.

Przy pomocy algorytmów rozpoznających podobieństwa w kodzie oprogramowania badacze z Kaspersky Lab ustalili, że Octopus może być powiązany z DustSquad – rosyjskojęzycznym ugrupowaniem cyberszpiegowskim, którego działania były wykrywane od 2014 r. w państwach należących do byłego Związku Radzieckiego w Azji Środkowej, jak również w Afganistanie. W ciągu ostatnich dwóch lat badacze wykryli cztery kampanie tego cybergangu wykorzystujące specjalnie przygotowane szkodliwe oprogramowanie dla systemów Android i Windows, którego celem byli zarówno użytkownicy prywatni, jak i placówki dyplomatyczne.

W 2018 r. wiele ugrupowań cyberprzestępczych atakowało placówki dyplomatyczne zlokalizowane w Azji Środkowej. DustSquad działa w tym regionie od kilku lat i niewykluczone, że to właśnie ta grupa stoi za nowym zagrożeniem. Najwyraźniej zainteresowanie sprawami cybernetycznymi w tym regionie nieustannie rośnie. Tamtejszym użytkownikom i organizacjom radzimy zachować czujność, jeśli chodzi o systemy – powiedział Denis Legezo, badacz ds. cyberbezpieczeństwa, Kaspersky Lab.

W celu zmniejszenia ryzyka związanego z zaawansowanymi cyberatakami Kaspersky Lab zaleca stosowanie następujących środków:

• Szkolenie personelu w zakresie higieny cyfrowej i wyjaśnienie, jak rozpoznawać oraz unikać potencjalnie szkodliwych aplikacji lub plików. Na przykład, pracownicy nie powinni pobierać ani uruchamiać żadnych aplikacji ani programów pochodzących z niezaufanych lub nieznanych źródeł.
• Wykorzystywanie niezawodnego rozwiązania bezpieczeństwa punktów końcowych z funkcjonalnością kontroli aplikacji, która ogranicza możliwości programów w zakresie uruchamiania lub uzyskiwania dostępu do krytycznych zasobów systemowych.
• Wdrożenie zestawu rozwiązań i technologii do ochrony przed atakami ukierunkowanymi takich jak Kaspersky EDR. Mogą one pomóc w wykrywaniu szkodliwej aktywności w sieci oraz skutecznym badaniu i reagowaniu na ataki poprzez blokowanie ich rozwoju.
• Zapewnienie dostępu zespołowi ds. bezpieczeństwa dostępu do profesjonalnej analizy zagrożeń.