Kiberspiegošanas grupa Chafer uzbrūk vēstniecībām ar pašdarinātas spiegprogrammatūras atjauninājumu

1. februāris 2019
Kaspersky Lab pētnieki ir konstatējuši vairākkārtējus mēģinājumus ar pašdarinātu spiegprogrammatūru inficēt ārvalstu diplomātiskās iestādes Irānā. Domājams, ka uzbrukumos ir izmantotas atjaunināta lūka (backdoor) Remexi. Kampaņā ir izmantoti arī vairāki likumīgi rīki. Lūka Remexi ir piederīga aizdomās turētai persiešu valodā runājošai kiberspiegošanas grupai, kas ir pazīstama ar nosaukumu Chafer un iepriekš ir bijusi saistīta ar atsevišķu personu kibernovērošanu Tuvajos Austrumos. Pievēršanās vēstniecībām var liecināt par jauniem šīs grupas mērķiem.

Šī operācija parāda, kā apdraudējumu izpildītāji jaunietekmes reģionos īsteno kampaņas pret interesējošajiem upuriem, izmantojot samērā elementāru pašdarinātu ļaunprogrammatūru apvienojumā ar publiski pieejamiem rīkiem. Šajā gadījumā uzbrucēji izmantoja lūkas Remexi uzlabotu versiju. Šis rīks ļauj attāli vadīt upura datoru.


Backdoor-Remexi


Lūka Remexi pirmo reizi tika konstatēta 2015. gadā, kad kiberspiegošanas grupa Chafer tās izmantoja kibernovērošanas operācijā, kas bija vērsta pret atsevišķām personām un vairākām organizācijām Tuvajos Austrumos. Jaunajā kampaņā izmantotās lūkas koda līdzība ar zināmajiem Remexi paraugiem, kā arī uzbrukumu upuru kopa ļāva Kaspersky Lab pētniekiem ar vidēju pārliecību to saistīt ar Chafer.

Jaunatklātā ļaunprogrammatūra Remexi spēj attāli izpildīt komandas un cita starpā iegūt ekrānuzņēmumus, pārlūka datus, ieskaitot lietotāja akreditācijas datus, pieteikšanās datus un vēsturi, kā arī jebkādu rakstītu tekstu. Nozagtie dati tiek eksfiltrēti ar oficiālo Microsoft lietotni Background Intelligent Transfer Service (BITS) — Windows komponentu, kas ir paredzēts Windows fona atjauninājumu iespējošanai. Tendence apvienot ļaunprogrammatūru ar piesavinātu vai likumīgu programmu palīdz uzbrucējiem taupīt laiku un resursus, kad viņi veido ļaunprogrammatūru, kā arī sarežģī uzbrukuma autorības noteikšanu.

"Runājot par varbūtējām valsts sponsorētām kiberspiegošanas kampaņām, ļaudis bieži vien iztēlojas izsmalcinātas operācijas ar sarežģītiem, ekspertu izstrādātiem rīkiem. Tomēr šīs spiegprogrammatūras kampaņas dalībnieki vairāk līdzinās sistēmas administratoriem nekā sarežģītu apdraudējumu izpildītājiem: viņi prot programmēt, bet viņu kampaņa vairāk balstās uz jau pastāvošo rīku radošu izmantošanu nekā uz jaunām, paplašinātām funkcijām vai komplicētu programmas arhitektūru. Taču pat samērā vienkārši rīki var nodarīt ievērojamu kaitējumu, tāpēc mēs aicinām organizācijas aizsargāt savu vērtīgo informāciju un sistēmas pret visu līmeņu apdraudējumiem un izmantot kiberdraudu izlūkdatus, lai izprastu situācijas attīstību," sacīja Kaspersky Lab drošības pētnieks Deniss Legezo.

Kaspersky Lab izstrādājumi nosaka atjaunināto ļaunprogrammatūru Remexi kā Trojan.Win32.Remexi un Trojan.Win32.Agent.

Lai pasargātu sevi no spiegprogrammatūras mērķuzbrukumiem, rīkojieties šādi.

  • Izmantojiet pārbaudītu uzņēmumu līmeņa drošības risinājumu ar pretmērķuzbrukumu spējām un kiberdraudu izlūkošanu, piemēram, Kaspersky Threat Management and Defense (PDF). Tas spēj pamanīt un apturēt sarežģītus mērķuzbrukumus, analizējot tīkla anomālijas un nodrošinot kiberdrošības darbiniekiem pilnīgu tīkla pārskatāmību un reaģēšanas automatizāciju.
  • Ieviesiet drošības izpratnes iniciatīvas, kas ļauj darbiniekiem apgūt aizdomīgu paziņojumu identificēšanas prasmi. E-pasts ir biežs mērķuzbrukumu sākumpunkts, un Kaspersky Lab klienti būs ieguvēji no Kaspersky Security Awareness Training kiberdrošības apmācībām.
  • Nodrošiniet drošības darbiniekiem piekļuvi jaunākajiem kiberdraudu datiem (PDF), lai sekotu līdzi jaunākajai taktikai un rīkiem, ko izmanto kibernoziedznieki, un uzlabotu pašreizējos drošības kontroles līdzekļus.