Η Kaspersky Lab ανακάλυψε το Grabit, μια νέα ψηφιακή εκστρατεία εταιρικής κατασκοπείας που έχει καταφέρει να υποκλέψει περίπου 10.000 αρχεία από μικρομεσαίες επιχειρήσεις.
Ο κύρος όγκος των εν λόγω επιχειρήσεων βρίσκονταν κυρίως στην Ταϊλάνδη, την Ινδία και τις ΗΠΑ. Οι εταιρείες που στοχοποιήθηκαν από το Grabit δραστηριοποιούνταν σε διάφορους τομείς, όπως: χημικά προϊόντα, νανοτεχνολογία, εκπαίδευσης, γεωργική παραγωγή, ΜΜΕ, κατασκευές κ.α. Επίσης, η εκστρατεία έδρασε και στα Ηνωμένα Αραβικά Εμιράτα, τη Γερμανία, το Ισραήλ, τον Καναδά, τη Γαλλία, την Αυστρία, τη Σρι Λάνκα, τη Χιλή και το Βέλγιο.
Η «μόλυνση» ξεκινά όταν ένας χρήστης σε κάποια επιχείρηση λαμβάνει ένα email με ένα συνημμένο αρχείο που μοιάζει με αρχείο Word (.doc). Όταν ο χρήστης «κατεβάσει» το έγγραφο, το κατασκοπευτικό πρόγραμμα εισέρχεται στον υπολογιστή από έναν απομακρυσμένο server, ο οποίος έχει παραβιαστεί από την ομάδα Grabit, ώστε να χρησιμοποιείται ως κόμβος κακόβουλου λογισμικού. Οι επιτιθέμενοι ελέγχουν τα θύματά τους, χρησιμοποιώντας το keylogger HawkEye (ένα εμπορικό εργαλείο κατασκοπείας από τη HawkEye Products) και μια μονάδα διαμόρφωσης που περιέχει μια σειρά Εργαλείων Απομακρυσμένης Διαχείρισης.
Σύμφωνα με τους ειδικούς της Kaspersky Lab, ενδεικτικό του μεγέθους της εκστρατείας είναι ότι ένα keylogger σε έναν μόνο από τους command-and-control serversκατάφερε να υποκλέψει 2.887 κωδικούς πρόσβαση, 1.053 μηνύματα και 3.023 ονόματα χρηστών από 4.928 διαφορετικούς hosts, εσωτερικά και εξωτερικά, ανάμεσα στους οποίους και το Outlook, το Facebook, το Skype, το GMail, το Pinterest, το Yahoo, το LinkedIn και το Twitter. Επίσης, κατάφερε να υποκλέψει στοιχεία τραπεζικών λογαριασμών και άλλες πληροφορίες.
Η ομάδα πίσω από το Grabit δεν κάνει κάποια επιπλέον προσπάθεια, ώστε να αποκρύψει τη δραστηριότητα της, όπως γίνεται σε άλλες περιπτώσεις. Κάποια κακόβουλα δείγματα χρησιμοποιούσαν τον ίδιο host server, ακόμη και τα ίδια στοιχεία σύνδεσης, βάζοντας σε κίνδυνο την ίδια τους τη δραστηριότητα και ασφάλεια. Από την άλλη όμως, οι επιτιθέμενοι χρησιμοποιούν ισχυρές τεχνικές άμβλυνσης για να κρατήσουν τον κώδικα τους κρυμμένο από τους αναλυτές. Αυτό οδηγεί την Kaspersky Lab να πιστεύει ότι πίσω από τις δραστηριότητες του Grabit βρίσκεται μια ετερόκλητη ομάδα, με ορισμένα μέλη της να διαθέτουν περισσότερες τεχνικές γνώσεις από άλλα και να είναι περισσότερο συγκεντρωμένα στο να κάνουν δύσκολο τον εντοπισμό τους. Η ανάλυση των ειδικών δείχνει ότι όποιος προγραμμάτισε το κακόβουλο λογισμικό δεν έγραψε όλο τον κώδικα από την αρχή.
Για την προστασία από τον Grabit, η Kaspersky Lab προτείνει στις επιχειρήσεις:
- Να ελέγχουν τις τοποθεσίες C:\Users\
\AppData\Roaming\Microsoft, για να δουν αν περιέχουν εκτελέσιμα αρχεία, καθώς μπορεί να έχει γίνει εισβολή κακόβουλου λογισμικού. Αυτό είναι κάτι βασικό που δεν πρέπει να αγνοηθεί. - Να ελέγξουν τις Ρυθμίσεις Παραμέτρων Συστήματος των Windows μέσω τις διαδικασίας ?msconfig?, ώστε να διασφαλίσουν ότι δεν υπάρχει το αρχείο grabit1.exe στον πίνακα εκκίνησης.
- Να διασφαλίσουν ότι δεν ανοίγονται συνημμένα αρχεία και link από άγνωστους αποστολείς. Αν κάποιος χρήστης δεν μπορεί να ανοίξει ένα αρχείο, δεν πρέπει να το προωθήσει σε άλλους, αλλά να ζητήσει τη βοήθεια του τμήματος Πληροφορικής.
- Να χρησιμοποιούν μια προηγμένη και ενημερωμένη anti-malware λύση, και να ακολουθούν πάντα την antivirus λίστα εργασιών για ύποπτες διαδικασίες.
