Jauns Trojas zirgs izspiego diplomātiskās iestādes Eiropā ar viltotu vīzas pieteikumu

18. maijs 2020
2019. gada novembrī Kaspersky tehnoloģijas atklāja jaunu ļaunprogrammatūru, kas tika vērsta pret diplomātiskajām struktūrām Eiropā, un tās sākotnējais nometējs tika izplatīts kā viltots vīzas pieteikums. Turpmāka analīze ļauj secināt, ka šī spiegprogrammatūra izmanto to pašu kodu, kas ir pamatā bēdīgi slavenajam COMPFun. Spiegprogrammatūra cenšas izplatīties upuru ierīcēs, lai savāktu un pārsūtītu datus operatoram. To plaši izmanto dažādi kiberuzbrucēji, un tās bīstamība ir atkarīga no izraudzītā upura: gan valdības, gan kritiskās infrastruktūras segmentā savāktā informācija var būt ļoti vērtīga kaitīgās programmatūras operatoriem un izraisīt daudz izmaiņu skartajā jomā.

Atklātās ļaunprogrammatūras kodam ir izteikta līdzība ar COMPFun, par kuru pirmo reizi ziņoja 2014. gadā. 2019. gadā kiberdrošības nozare iepazina tā pēcteci Reductor. Jaunā Trojas zirga funkcijās ietilpst spēja noteikt mērķa ģeogrāfisko atrašanās vietu, apkopot ar resursdatoriem un tīklu saistītus datus, reģistrēt taustiņsitienus un veikt ekrānuzņēmumus.

Kaspersky eksperti uzskata, ka tas ir pilnvērtīgs Trojas zirgs, kas spēj izplatīties arī noņemamajos datu nesējos. Tā sākotnējais nometējs, ko lejupielādē no koplietojamā lokālā tīkla, ir fails ar nosaukumu, kas saistīts ar vīzu pieteikuma procesu, tādēļ atbilst diplomātisko iestāžu darba uzdevumiem. Nometējs satur šifrētu leģitīmu pieteikumu, kā arī nākamā posma 32 un 64 bitu ļaunprogrammatūru.

Balstoties uz upuru analīzi, Kaspersky saista oriģinālo ļaunprātīgo programmatūru COMPfun ar APT Turla no vidēja līdz zemam ticamības līmenim.



Kaspersky eksperti ir publicējuši daudzus ziņojumus par krievvalodīgā kiberuzbrucēju grupējuma Turla jauniem rīkiem, paņēmieniem un spiegošanas operācijām, kuru mērķu uzskaitījumā pavīd arī Latvija.

"Ļaunprogrammatūras operatori joprojām koncentrējās uz diplomātiskām iestādēm un ir izvēlējušies vīzas iesniegumu, kas tiek saglabāts vietējā tīkla koplietošanas mapē, jo sākotnējais inficēšanas vektors darbojas viņu labā. Pielāgota pieeja mērķiem un prasme izstrādāt un īstenot savus plānus noteikti ļauj uzskatīt  COMPFun izstrādātājus par efektīvu, agresīvu komandu," saka Kurts Baumgartners, Kaspersky galvenais drošības pētnieks. 

Lai organizācijas pasargātu no tādiem apdraudējumiem kā  COMPfun, Kaspersky iesaka tālāk minētos pasākumus.

Veiciet regulārus organizācijas IT infrastruktūras drošības auditus.
Izmantojiet pārbaudītu galiekārtu drošības risinājumu, piemēram, Kaspersky Endpoint Security for Business.
Galiekārtu līmeņa apdraudējumu noteikšanai, izmeklēšanai un savlaicīgai incidentu novēršanai ieviesiet tādus EDR risinājumus kā Kaspersky Endpoint Detection and Response.
Papildus būtiskas galiekārtu aizsardzības ieviešanai instalējiet arī korporatīvās klases drošības risinājumu, piemēram, Kaspersky Anti Targeted Attack Platform, kas agrīnā stadijā atklāj sarežģītus apdraudējumus tīkla līmenī.
Nodrošiniet savai Drošības operāciju centra (SOC) komandai piekļuvi jaunākajai draudu analīzes informācijai Threat Intelligence, lai pastāvīgi būtu lietas kursā par topošajiem un jaunajiem rīkiem, paņēmieniem un taktiku, kādu izmanto apdraudējumu operatori un kibernoziedznieki.

Sīkāk par ļaunprogrammatūru lasiet vietnē Securelist.

Par Kaspersky
Kaspersky ir starptautisks kiberdrošības risinājumu ražotājs ar pārvaldītājsabiedrību Apvienotajā Karalistē un digitālo infrastruktūru, kas tiek migrēta uz Šveici**. Tam ir izpētes centri 3 kontinentos, biroji 5 kontinentos, vairāk kā 4000 darbinieku un tas darbojas gandrīz 200 valstīs un teritorijās.

Kaspersky strādā informācijas drošības jomā kopš 1997. gada. Dziļas speciālās zināšanas un pieredze veido pamatu aizsardzības risinājumiem un pakalpojumiem, kas nodrošina uzņēmumu, kritiskās infrastruktūras, valsts iestāžu un mājas lietotāju drošību visā pasaulē. Kaspersky plašais piedāvājumu klāsts ietver inovatīvus izstrādājumus galiekārtu aizsardzībai, kā arī vairākus specializētos risinājumus un pakalpojumus cīņai ar sarežģītiem un nepārtraukti evolucionējošiem kiberdraudiem. Kaspersky tehnoloģijas aizsargā vairāk nekā 400 miljonus lietotāju un 250 tūkstošus korporatīvo klientu, palīdzot saglabāt tiem svarīgo.

** Kaspersky klientus Eiropā jau apkalpo mākoņsistēma, kas izvietota datu centros Šveicē, Cīrihē. 
Latvijas lietotāji alternatīvi var bez maksas izmantot mākoni Kaspersky Private Security Network, kas izvietots datu centrā Latvijā (vairāk par to lasiet šeit).
Paaugstinātas drošības sistēmām Kaspersky piedāvā unikālu risinājumu Kaspersky Private Security Network, kas paredz mākoņsistēmas izvietošanu klienta infrastruktūrā viņa pilnā pārziņā, līdz ar ko nekādi dati neatstāj klienta infrastruktūru, pie viena nodrošinot maksimāli augstu aizsardzības līmeni.