Ροή

Η Kaspersky αποκαλύπτει το Χρονικό της Hellsing

RC_Andreas

Administrator
Joined
3 June 2010
Μηνύματα
4,599
Βαθμολογία
10
Points
38
Location
Ελλάδα
Website
www.eltube.gr

Η Kaspersky Lab εντόπισε μια σπάνια και ασυνήθιστη περίπτωση επίθεσης από έναν ψηφιακό εγκληματία σε έναν άλλον.
Πιο αναλυτικά, το 2014, η Hellsing, μία μικρή και μέτρια τεχνικά ομάδα ψηφιακής κατασκοπείας που στόχευε κυρίως κυβερνήσεις και διπλωματικούς οργανισμούς στην Ασία, δέχτηκε επίθεση spearphishing από κάποιον άλλο παράγοντα online απειλών και αποφάσισε να αντεπιτεθεί.
Η Kaspersky Lab πιστεύει ότι αυτό θα μπορούσε να σηματοδοτήσει την εμφάνιση μιας νέας τάσης στην ψηφιακή εγκληματικότητα: τους «APT πολέμους».
Η ανακάλυψη έγινε από τους ειδικούς της Kaspersky Lab, στο πλαίσιο έρευνας σχετικά με την δραστηριότητα της Naikon, μιας ομάδας ψηφιακής κατασκοπείας που δρούσε επίσης στην περιοχή Ασίας – Ειρηνικού.
Οι ειδικοί παρατήρησαν ότι ένας από τους στόχους είχε εντοπίσει το γεγονός ότι η ομάδα Naikon προσπάθησε να «μολύνει» τα συστήματα του, μέσω ενός spearphishing e-mail που μετέφερε ένα κακόβουλο συνημμένο αρχείο.
Ο στόχος αμφισβήτησε τη γνησιότητα του e-mail απευθυνόμενος στον αποστολέα και προφανώς δυσαρεστημένος με την απάντηση που έλαβε, δεν άνοιξε το συνημμένο αρχείο.
Λίγο αργότερα, ο στόχος διαβίβασε στον αποστολέα ένα e-mail που περιείχε το κακόβουλο λογισμικό του ίδιου του στόχου. Αυτή η κίνηση πυροδότησε την έρευνα της Kaspersky Lab και οδήγησε στην ανακάλυψη της ΑΡΤ (Advanced Persistent Threat) ομάδας Hellsing.
Η μέθοδος της αντεπίθεσης δείχνει ότι η ομάδα Hellsing ήθελε να αναγνωρίσει την ομάδα Naikon και να συλλέξει πληροφορίες γι? αυτή.
Προχωρώντας σε βαθύτερη ανάλυση του φορέα Hellsing, η Kaspersky Lab ανακάλυψε μια σειρά μηνυμάτων spearphishing με κακόβουλα συνημμένα αρχεία, τα οποία είχαν σχεδιαστεί για να διαδώσουν κακόβουλο λογισμικό κατασκοπείας σε διάφορους οργανισμούς.
Αν το θύμα ανοίξει το κακόβουλο συνημμένο αρχείο, το σύστημά του «μολύνεται» με ένα προσαρμοσμένο backdoor, το οποίο μπορεί να «κατεβάζει» και να «ανεβάζει» αρχεία, να ενημερώνεται και να απεγκαθίσταται μόνο του. Σύμφωνα με τις παρατηρήσεις της Kaspersky Lab, ο αριθμός των οργανισμών που αποτέλεσαν στόχο της Hellsing πλησίασε τους 20.

Οι στόχοι της Hellsing
Η Kaspersky Lab έχει εντοπίσει και εμποδίσει κακόβουλο λογισμικό της Hellsing στη Μαλαισία, τις Φιλιππίνες, την Ινδία, την Ινδονησία και τις ΗΠΑ, με τα περισσότερα θύματα να βρίσκονται στη Μαλαισία και τις Φιλιππίνες. Οι επιτιθέμενοι είναι επίσης πολύ επιλεκτικοί σε σχέση με το είδος των οργανισμών που στοχεύουν, επιδιώκοντας να «μολύνουν» κυρίως κυβερνητικούς και διπλωματικούς οργανισμούς.
Σύμφωνα με την ανάλυση της Kaspersky Lab, ο φορέας απειλής Hellsing είναι ? και παραμένει ? ενεργός τουλάχιστον από το 2012.
Για την προστασία απέναντι στις επιθέσεις της ομάδας Hellsing, η Kaspersky Lab προτείνει τις παρακάτω βασικές βέλτιστες πρακτικές ασφάλειας:

  • Μην ανοίγετε ύποπτα συνημμένα αρχεία από αποστολείς που δεν γνωρίζετε
  • Δείξτε προσοχή σε αρχεία που προστατεύονται με κωδικό πρόσβασης και περιέχουν αρχεία SCR ή άλλα εκτελέσιμα αρχεία
  • Αν δεν είστε βέβαιοι για το συνημμένο αρχείο, δοκιμάστε να το ανοίξετε σε περιβάλλον sandbox
  • Βεβαιωθείτε ότι διαθέτετε ένα ενημερωμένο λειτουργικό σύστημα, με όλα τα απαραίτητα patches εγκατεστημένα
  • Να ενημερώνετε όλες τις εφαρμογές τρίτων, όπως το Microsoft Office, η Java, το Adobe Flash Player και το Adobe Reader
Περισσότερες πληροφορίες είναι διαθέσιμες στον ιστότοπο Securelist.com.
[Δ.Τ. Kaspersky Lab]
 
Top Bottom