Tim za globalno istraživanje i analizu otkrio je ovu sajber špijunsku kampanju. Ko je sve bio meta, pročitajte u nastavku.
Tim za globalno istraživanje i analizu kompanije Kaspersky Lab otkrio je Plavog Termita – sajber špijunsku kampanju čije su mete, u protekle dve godine, bile stotine organizacija u Japanu. Napadači love poverljive informacije i koriste Flash player eksploit alat nultog dana i sofisticirani backdoor program, koji je posebno prilagođen svakoj žrtvi. Ovo je prva kampanja koja je isključivo fokusirana na Japanske mete – i još uvek je aktivna.
U oktobru 2014. godine istraživači su se suočili sa nikada do tada viđenim primerom malvera koji se razlikovao od drugih po svojoj složenosti. Dodatne analize su pokazale da je ovaj uzorak samo mali deo velike i sofisticirane sajber špijunske kampanje. Na spisku meta se nalaze vladine organizacije, teške industrije, finansijske, hemijske, satelitiske, medijske, medicinske i prosvetne oganizacije, prehrambena industrija i druge kompanije.
Raznovrsne tehnike inficiranja
Kako bi inficirali svoje žrtve, članovi Plavog Termita koriste nekoliko tehnika. Do jula 2015. godine, uglavnom su koristili spear-phishing e-mail poruke (slanje malicioznog softvera u prilogu e-maila koji svojim sadržajem treba da privuče žrtve). Međutim, tokom jula, napadači su promenili taktiku i počeli da šire malver koristeći Flash player eksploit alat nultog-dana (CVE-2015-5119, eksploit koji je „procureo” zbog Hacking Team incidenta tokom ovog leta). Takođe, kompromitovali su nekoliko Japanskih veb stranica tako da njihovi posetioci automatski downloaduju eksploit alat čim posete sajt i tako inficiraju svoj uređaj. Ova tehnika je poznata pod imenom drive-by-downloads.
Primena eksploit alata nultog dana je dovela do znatnog porasta broja zaraženih uređaja koje je sistem za detekciju kompanije registrovao sredinom Jula.
Bilo je i pokušaja da se napravi profil registrovanih žrtvi. Jedna od inficiranih veb stranica pripadala je poznatom članu japanske vlade, a druga je sadržala maliciozni script koji filtrira sve IP adrese, osim one koja pripada tačno određenoj japanskoj organizaciji. Drugim rečima, samo bi izabrani korisnici bili inficirani.
Jedinstveni malver i jezički artefakti
Posle uspešne infekcije, sofisticirani backdoor program se aktivira na ciljanom uređaju. On može da krade lozinke, preuzima i pokreće dodatne maliciozne programe, pristupa fajlovima, itd. Jedna od najinteresantnijih stvari je da je svakoj žrtvi Plavog Termita poslata jedinstvena verzija malvera koja je napravljena tako da može biti pokrenuta samo na ciljanom PC računaru. Istraživači kompanije smatraju da je ova tehnika osmišljena kako bi stručnjacima za sigurnost bilo otežano detektovanje i analiza ovog malicioznog softvera.
Pitanje ko stoji iza ovog napada ostaje otvoreno. Kao i obično, identifikovanje napadača, kada su u pitanju sofisticirani sajber napadi, veoma je složen zadatak. Ali, istraživači su uspeli da prikupe neke jezičke artefakte. Korisnički grafički interfejs komandnog i kontrolnog servera, kao i tehnička dokumentacija vezana za maliciozni softver koji su korišceni za rad Plavog Termita, pisani su na kineskom jeziku. Ova činjenica može značiti da osobe koje stoje iza napada govore tim jezikom.
Čim su istraživači iz kompanije Kaspersky Lab skupili dovoljno informacija kako bi mogli da potvrde da je Plavi Termit sajber špijunska kampanja protiv japanskih organizacija, njihovi predstavnici su o tome obavestili agencije za sprovođenje zakona. S obzirom da je operacija Plavi Termit i dalje u toku, istraga kompanije se takođe nastavlja.
Kako bi se smanjio rizik od infekcije u okviru sajber špijunske kampanje Plavi Termit, stručnjaci preporučuju sledeće:
- Uvek ažurirajte softver, pogotovu onaj koje se često koristi i koji je podložan sajber kriminalu;
- Ako su vam slabosti u sotveru na vašem uređaju poznate, a za njih još uvek ne postoji rešenje, izbegavajte korišćenje tog softvera;
- Oprezno otvarajte e-mail poruke sa prilozima.
Koristite proverena antivirus rešenja.
Pratite nas i na Facebooku,Twitteru i Instagramu.