PLATINUM znowu sięga po steganografię
2019-06-07 12:20
Wykrywanie ataków © fot. mat. prasowe
Specjaliści Kaspersky informują o wykryciu wyrafinowanej kampanii cyberszpiegowskiej wycelowanej w placówki dyplomatyczne, rządowe oraz wojskowe w Azji Południowej. Trwała ona niemal 6 lat, a dochodzenie dowiodło, że stało za nią, uważane za już nieistniejące, ugrupowanie PLATINUM. Cyberprzestępcom udało się ukrywać swoją aktywność za sprawą steganografii – techniki, która umożliwia ukrywać sam fakt przekazywania informacji.
Przeczytaj także: Steganografia w rękach cyberprzestępcy
O tym, że kreatywność cyberprzestępczego półświatka nie ma właściwie granic, nie trzeba przekonywać już chyba nikogo. Eksperci Kaspersky już od jakiegoś czasu informowali o kolejnym, niepokojącym trendzie w cyberzagrożeniach. Wyszło bowiem na jaw, że cyberprzestępcy rozpoczęli swą przygodę ze steganografią. Technika ta polega na przesyłaniu danych w ukrytej postaci, przy czym maskowany jest tu sam fakt przesyłania danych, co odróżnia ją od kryptografii, w przypadku której atakujący ukrywają wyłącznie dane. Wykorzystanie steganografii pozwala cyberprzestępcom pozostawać w zainfekowanym systemie długo i bez wzbudzania podejrzeń. Obserwacje specjalistów Kaspersky Lab wykazały, że tą właśnie metodą posłużyło się ostatnio ugrupowanie PLATINUM - uśpiony od 2017 roku gang, który atakują rządy i powiązane organizacje w Azji Południowej i Południowo-Wschodniej.W przypadku wykrytej niedawno operacji PLATINUM polecenia szkodliwego oprogramowania zostały osadzone w kodzie HTML strony internetowej. Tabulatory oraz spacje nie mają wpływu na to, jak kod HTML przekłada się na zawartość strony internetowej, dlatego cyberprzestępcy zakodowali polecenia przy użyciu określonej sekwencji tych dwóch znaków. W efekcie polecenia były prawie niemożliwe do wykrycia w ruchu sieciowym, ponieważ szkodliwe oprogramowanie wydawało się jedynie uzyskiwać dostęp do niewzbudzającej podejrzeń strony, która pozostawała niezauważalna w ogólnym ruchu.
W celu wykrycia szkodliwego oprogramowania badacze musieli sprawdzić programy, które potrafiły przesyłać pliki na urządzenie. Okazało się, że jeden z nich wykazywał nietypowe zachowanie – uzyskiwał dostęp do usługi w chmurze publicznej Dropbox i został tak zaprogramowany, aby działać jedynie w określonych godzinach. Jak zorientowali się później badacze, miało to na celu ukrycie aktywności szkodliwego oprogramowania wśród procesów uruchamianych w standardowych godzinach pracy, kiedy jego zachowanie nie wzbudziłoby podejrzeń. W rzeczywistości, szkodliwy moduł potajemnie pobierał i wysyłał dane oraz pliki na i z zainfekowanego urządzenia.
Dotychczas znane kampanie ugrupowania PLATINUM były wyrafinowane i precyzyjnie wykonane. To samo cechuje szkodliwe oprogramowanie wykorzystane w omawianym ataku – oprócz steganografii szkodnik stosuje inne metody, które pozwoliły mu uniknąć wykrycia przez długi czas. Potrafi on na przykład przesyłać polecenia nie tylko z centrum sterowania, ale również z jednej zainfekowanej maszyny na drugą. W ten sposób cyberugrupowanie mogło zainfekować nawet te urządzenia, które nie były połączone z internetem, jednak działały w ramach tej samej sieci wewnętrznej. Działanie cybergangów wykorzystujących steganografię, takich jak PLATINUM, oznacza, że zaawansowane zagrożenia unikają wykrycia, stosując coraz bardziej wyrafinowane metody, o czym powinni pamiętać dostawcy ochrony, tworząc swoje rozwiązania bezpieczeństwa – powiedział Aleksiej Szulmin, badacz ds. cyberbezpieczeństwa, Kaspersky.
fot. mat. prasowe
Wykrywanie ataków
PLATINUM powraca – ugrupowanie cyberprzestępcze wykorzystuje steganografię w celu uniknięcia wykrycia
Porady bezpieczeństwa
Kaspersky zaleca podjęcie następujących działań, które pomogą firmom zabezpieczyć się przed zaawansowanymi cyberzagrożeniami:
- Wprowadź szkolenie w zakresie zwiększenia świadomości dot. bezpieczeństwa dla pracowników, podczas którego dowiedzą się, jak rozpoznać oraz unikać potencjalnie szkodliwych aplikacji oraz plików. Na przykład pracownicy nie powinni pobierać ani uruchamiać żadnych aplikacji ani programów z niezaufanych bądź nieznanych źródeł.
- W celu zapewnienia wykrywania na poziomie punktu końcowego, badania i niezwłocznego naprawiania szkód na skutek incydentów stosuj rozwiązania EDR, takie jak Kaspersky Endpoint Detection and Response.
- Oprócz niezbędnej ochrony punktów końcowych stosuj rozwiązanie zabezpieczające klasy korporacyjnej, takie jak Kaspersky Anti Targeted Attack Platform, które wykrywa zaawansowane zagrożenia na poziomie sieci na wczesnym etapie.
- Zapewnij swojemu zespołowi z centrum operacji bezpieczeństwa dostęp do najnowszych informacji dot. cyberzagrożeń, aby mógł na bieżąco poznawać najnowsze narzędzia, techniki oraz taktyki wykorzystywane przez cyberprzestępców.
Przeczytaj także:
![Jak cyberprzestępcy działają w czasie pandemii?]( "Jak cyberprzestępcy działają w czasie pandemii?")
Jak cyberprzestępcy działają w czasie pandemii?
Jak cyberprzestępcy działają w czasie pandemii?
oprac. : eGospodarka.pl
Przeczytaj także
-
![HoReCa po ostrzałem cyberataków. Zagrożone dane klientów?]( "HoReCa po ostrzałem cyberataków. Zagrożone dane klientów? [© benedetti68 - Fotolia.com]")
HoReCa po ostrzałem cyberataków. Zagrożone dane klientów?
-
![Cyberprzestępczość i jej wpływ na gospodarkę]( "Cyberprzestępczość i jej wpływ na gospodarkę [© adimas - Fotolia.com]")
Cyberprzestępczość i jej wpływ na gospodarkę
-
![5 sposobów wykorzystania sztucznej inteligencji przez cyberprzestępców]( "5 sposobów wykorzystania sztucznej inteligencji przez cyberprzestępców [© Gerd Altmann z Pixabay]")
5 sposobów wykorzystania sztucznej inteligencji przez cyberprzestępców
-
![Keyloggery, aplikacje szpiegujące i malware atakują małe firmy]( "Keyloggery, aplikacje szpiegujące i malware atakują małe firmy")
Keyloggery, aplikacje szpiegujące i malware atakują małe firmy
-
![ESET wykrył kampanię spamową. Polskie firmy na celowniku]( "ESET wykrył kampanię spamową. Polskie firmy na celowniku [© Gerd Altmann z Pixabay]")
ESET wykrył kampanię spamową. Polskie firmy na celowniku
-
![2023 był rokiem ransomware]( "2023 był rokiem ransomware [© Florian Roth - Fotolia.com]")
2023 był rokiem ransomware
-
![Formularze Google’a mogą być narzędziem do ataków phishingowych]( "Formularze Google’a mogą być narzędziem do ataków phishingowych [© Andrey Burmakin - Fotolia.com.jpg]")
Formularze Google’a mogą być narzędziem do ataków phishingowych
-
![Jak atakują cyberprzestępcy? Podsumowanie 2023]( "Jak atakują cyberprzestępcy? Podsumowanie 2023 [© leowolfert - Fotolia.com]")
Jak atakują cyberprzestępcy? Podsumowanie 2023
-
![Cyberprzestępczość - jakie trendy w IV kwartale 2023?]( "Cyberprzestępczość - jakie trendy w IV kwartale 2023? [© Andrey Burmakin - Fotolia.com]")
Cyberprzestępczość - jakie trendy w IV kwartale 2023?
Skomentuj artykuł Opcja dostępna dla zalogowanych użytkowników - ZALOGUJ SIĘ / ZAREJESTRUJ SIĘ
Komentarze (0)
Nowa Pabianicka we Wrocławiu: nowe mieszkania już w sprzedaży
