Οι προβλέψεις της Symantec για την ασφάλεια το 2017

symantec-logo

Κάθε χρόνο, ο χώρος της ψηφιακής ασφάλειας αντιμετωπίζει νέες μορφές απειλών, καθώς οι εγκληματίες του κυβερνοχώρου εξελίσσουν την προσέγγιση τους ως προς την πρόσβαση στα δεδομένα οργανισμών.

Καθώς πλησιάζουμε το 2017, οι ειδικοί σε θέματα ασφάλειας της Symantec Corp, έχουν επιστήσει την προσοχή τους στις τάσεις που πιθανώς αναμένουμε να δούμε το 2017, αλλά και τα επόμενα χρόνια. Με δεδομένο το συνεχώς μεταβαλλόμενο τοπίο, είναι σημαντικό να εστιάσουμε που θα πρέπει να επικεντρωθεί η προσοχή της ψηφιακής ασφάλειας και πως θα κινηθεί για το ερχόμενο έτος.

Internet of Things (IoT):

  • Η ανάπτυξη του Cloud

Το 2017 θα συνεχίσουμε να βλέπουμε μια στροφή προς τον σύγχρονο εργασιακό χώρο, καθώς όλο και περισσότερες επιχειρήσεις επιτρέπουν στους υπαλλήλους τους να χρησιμοποιούν τις νέες τεχνολογίες, όπως τα wearables, την εικονική πραγματικότητα αλλά και τις συνδεδεμένες στο δίκτυο συσκευές ( IoT), υποστηρίζοντας παράλληλα ένα ταχέως αυξανόμενο δυναμικό, από εφαρμογές και λύσεις που βασίζονται στο Cloud.

  • Τα συνδεδεμένα αυτοκίνητα θα γίνουν στόχος

Με δεδομένο ότι τα αυτοκίνητα αρχίζουν να έχουν δυνατότητες διασύνδεσης, είναι θέμα χρόνου να δούμε hacking μεγάλης κλίμακας και σε αυτά. Αυτό θα μπορούσε να εμφανιστεί με την μορφή λύτρων για τα αυτοκίνητα αυτά, αυτόματη και μη εξουσιοδοτημένη παρακολούθηση τους και συλλογή πληροφοριών, ή άλλες απειλές που συνδέονται με αυτά.

  • Οι συσκευές IoT θα διεισδύσουν ακόμη περισσότερο στις επιχειρήσεις

Κοιτάζοντας πέρα από τα απλά τρωτά σημεία των φορητών συσκευών και των υπολογιστών, τα τμήματα ασφάλειας στην μηχανογράφηση των επιχειρήσεων, θα πρέπει πλέον να εξετάζουν και άλλες συσκευές ως προς την ασφάλεια τους, όπως οι θερμοστάτες για παράδειγμα και γενικότερα έξυπνες συσκευές που είναι συνδεδεμένες στο Internet και χρησιμοποιούν το δίκτυο μιας επιχείρησης.

  • Αύξηση των επιθέσεων IoT DDoS

Η επίθεση Dyn τον περασμένο Οκτώβριο, απέδειξε ότι τεράστιος αριθμός των συσκευών IoT που δεν είναι ασφαλείς και είναι εξαιρετικά ευάλωτες σε επιθέσεις. Δεδομένου ότι όλο και περισσότερες συσκευές IoT εγκαθίστανται σταδιακά στην αγορά, ο κίνδυνος παραβίασης τους θα αυξάνεται αντίστοιχα.

Το Cloud Generation θα καθορίσει το μέλλον της επιχείρησης:

  • Το δίκτυο των επιχειρήσεων θα επεκταθεί και θα γίνει πιο ασαφές και διάσπαρτο

Με το εργατικό δυναμικό να γίνεται πιο “φορητό” από ποτέ, η ανάγκη προστασίας, ενός δικτύου on-premise, θα αποβαίνει ολοένα και πιο κοντόφθαλμη. Η ανάγκη παρουσίας των firewalls για την υπεράσπιση ενός μοναδικού δικτύου καθίσταται περιττή, εάν είναι συνδεδεμένο στο cloud. Όλες οι επιχειρήσεις θα αρχίσουν να κινούνται προς τις ασύρματες και cloud-based υπηρεσίες, αντί να επενδύουν σε ακριβές και περιττές δικτυακές λύσεις.

  • Οι εκβιαστές θα επιτεθούν στο Cloud

Με δεδομένη τη σημαντική στροφή προς την cloud-based αποθήκευση και τις υπηρεσίες, το Cloud γίνεται ένας πολύ προσοδοφόρος στόχος για επιθέσεις, αφού δεν προστατεύεται από firewall ή άλλα παραδοσιακά μέτρα ασφάλειας. Έτσι οι επιχειρήσεις θα πρέπει να υπερασπιστούν τα δεδομένα τους. Οι επιθέσεις μπορεί να οδηγήσουν σε εκβιασμούς και αποζημιώσεις πολλών εκατομμυρίων ευρώ καθώς και στην απώλεια κρίσιμων δεδομένων. Η ανάγκη λοιπόν για λύσεις προστασίας θα γίνει ακόμη πιο έντονη.

  • Η τεχνητή νοημοσύνη θα απαιτεί εξελιγμένες δυνατότητες Big Data.

Το 2017, η μηχανική μάθηση και η τεχνητή νοημοσύνη θα συνεχίσουν να αναπτύσσονται. Μάλιστα, η εταιρεία ερευνών Forrester προβλέπει ότι οι επενδύσεις στην τεχνητή νοημοσύνη θα αυξηθούν κατά 300%, μέσα στο 2017. Με την ανάπτυξη έρχονται νέες, ισχυρές ιδέες για τις επιχειρήσεις καθώς και μια αυξημένη συνεργασία μεταξύ των ανθρώπων και των μηχανών. Από την άποψη της ασφάλειας, αυτή η επέκταση θα επηρεάσει τους οργανισμούς με περισσότερους από έναν τρόπους – συμπεριλαμβανομένων των endpoints και των μηχανισμών στο Cloud.

Το έγκλημα στον κυβερνοχώρο:

  • Κακόβουλες επιθέσεις θα αυτοχρηματοδοτούνται με την κλοπή χρημάτων

Υπάρχει μια επικίνδυνη πιθανότητα ότι παρίες εθνικών κρατών θα μπορούσαν να ευθυγραμμιστούν με το οργανωμένο έγκλημα για δικό τους όφελος, όπως αυτά που είδαμε στις επιθέσεις SWIFT (Society for Worldwide Interbank Financial Telecommunications). Αυτό θα μπορούσε να οδηγήσει ακόμα και σε πτώση κυβερνήσεων ως προς τα πολιτικά, στρατιωτικά ή οικονομικά συστήματα τους.

  • Τα «fileless» malware θα αυξηθούν

Οι fileless μολύνσεις – οι οποίες γράφονται απευθείας στη μνήμη RAM ενός υπολογιστή χωρίς τη χρήση οποιουδήποτε αρχείου – είναι δύσκολο να ανιχνευθούν και συχνά ξεφεύγουν από προγράμματα πρόληψης εισβολών και antivirus. Αυτό το είδος των επιθέσεων αυξήθηκε καθ’ όλο το 2016 και αναμένεται να συνεχίσει να αυξάνεται, αποκτώντας εξέχουσα θέση στη λίστα των απειλών, μέσα στο 2017, πιθανότατα μέσω επιθέσεων PowerShell.

  • Η κατάχρηση του Secure Sockets Layer (SSL) θα οδηγήσει σε αύξηση των phishing sites με HTTPS

Η άνοδος στη δημοτικότητα των δωρεάν πιστοποιήσεων SSL σε συνδυασμό με την πρόσφατη πρωτοβουλία της Google για την επισήμανση των HTTP sites ως μη ασφαλή θα αποδυναμώσουν τα πρότυπα ασφαλείας, οδηγώντας σε υποψήφια spear-phishing ή malware προγράμματα, εξαιτίας των κακόβουλων πρακτικών βελτίωσης ως προς τις μηχανές αναζήτησης.

  • Drones θα χρησιμοποιηθούν για κατασκοπεία και επιθέσεις

Αυτό ίσως να εμφανισθεί το 2017, αλλά είναι πιο πιθανό να συμβεί αργότερα. Μέχρι το 2025, μπορούμε να περιμένουμε ότι θα δούμε «drone-jacking», το οποίο σημαίνει ότι θα υποκλέπτονται σήματα drone, με αποτέλεσμα τον αναπροσανατολισμό τους προς όφελος του εισβολέα. Λαμβάνοντας υπόψη αυτή τη δυνατότητα, μπορούμε επίσης να περιμένουμε ότι θα δούμε και “αντί – drone hacking” δηλαδή τεχνολογία η οποία αναπτύσσεται για τον έλεγχο των GPS συσκευών των droneκαι άλλων σημαντικών συστημάτων.

Το άρθρο περιλαμβάνει πληροφορίες από δελτίο τύπου της Symantec.

Πηγή

Η ESET ανακαλύπτει ασυνήθιστο Malware που κλέβει δεδομένα

Οι ερευνητές της ESET έχουν ανακαλύψει ένα νέο Trojan malware που κλέβει δεδομένα, το οποίο ανιχνεύεται από την ESET ως Win32 / PSW.Stealer.NAI και ονομάστηκε USB Thief. Αυτό το κακόβουλο λογισμικό χρησιμοποιεί αποκλειστικά συσκευές USB για να εξαπλωθεί, χωρίς να αφήνει κανένα αποδεικτικό στοιχείο στον υπολογιστή που έχει παραβιάσει. Οι δημιουργοί του έχουν επίσης χρησιμοποιήσει ειδικούς μηχανισμούς ώστε το malware να μην διατρέχει κίνδυνο να αναπαραχθεί ή να αντιγραφεί, γεγονός που καθιστά ακόμη πιο δύσκολο τον εντοπισμό και την ανάλυσή του.

«Φαίνεται ότι αυτό το κακόβουλο λογισμικό δημιουργήθηκε για στοχευμένες επιθέσεις σε συστήματα που δεν συνδέονται με το διαδίκτυο» σχολιάζει ο Tomáš Gardoň, Malware Analyst της ESET.

Το γεγονός ότι το USB Thief διαχειρίζεται από μια αφαιρούμενη συσκευή USB σημαίνει ότι δεν αφήνει ίχνη, και ως εκ τούτου, τα θύματα δεν αντιλαμβάνονται καν ότι τα στοιχεία τους έχουν κλαπεί. Ένα άλλο χαρακτηριστικό – που επίσης καθιστά το USB Thief ασυνήθιστο – είναι ότι συνδέεται με μία μόνο συσκευή USB που αποτρέπει τη διαρροή στα συστήματα που αποτελούν στόχο. Πάνω από όλα, το USB Thief διαθέτει εξελιγμένη δυνατότητα εκτέλεσης μίας κρυπτογράφησης σε πολλά επίπεδα, που είναι επίσης συνδεδεμένη με τα χαρακτηριστικά της συσκευής USB που το φιλοξενεί. Αυτό καθιστά το USB Thief εξαιρετικά δύσκολο να εντοπιστεί και να αναλυθεί.

Το USB Thief μπορεί να αποθηκευτεί ως «plugin» πηγή φορητών εφαρμογών ή ως απλά μια βιβλιοθήκη – DLL – που χρησιμοποιείται από τη φορητή εφαρμογή. Ως εκ τούτου, κάθε φορά που εκτελείται μια τέτοια εφαρμογή, το κακόβουλο λογισμικό θα «τρέχει» στο παρασκήνιο. «Αυτός δεν είναι πολύ συνηθισμένος τρόπος για να ξεγελάσουν τους χρήστες, αλλά είναι πολύ επικίνδυνος. Οι χρήστες πρέπει να αντιληφθούν τους κινδύνους που συνοδεύουν τις συσκευές αποθήκευσης USB που προέρχονται από πηγές που μπορεί να μην είναι αξιόπιστες», προειδοποιεί ο Tomáš Gardon.

Περισσότερες λεπτομέρειες σχετικά με το Trojan USB Thief βρίσκονται στη συνέντευξη του Tomáš Gardoň καθώς και σε σχετικό τεχνικό άρθρο στο επίσημο blog της ESET για θέματα IT ασφάλειας, WeLiveSecurity.com.

Πηγή

Σοβαρό κενό ασφαλείας επηρεάζει σχεδόν όλο το Internet

Ένα bug οκτώ χρονών στο σύστημα DNS του Internet μπορεί να χρησιμοποιηθεί για τη διασπορά malware, σύμφωνα με τη φίρμα ασφαλείας Dan Kaminsky.

Η εταιρεία λέει ότι ένα σφάλμα στην βιβλιοθήκη Gnu C, ή «glibc», μπορεί να ξεγελάσει τους browsers ώστε να ψάχνουν σε «σκιώδη» domain names.

Οι servers μπορούν να απαντήσουν στις αιτήσεις με μεγάλα ονόματα DNS και να προκαλέσουν overflow στο software ενός θύματος.

Αυτή η συμπεριφορά θα μπορούσε να επιτρέψει σε χάκερ να εκτελέσουν κώδικα απομακρυσμένα και να πάρουν τον έλεγχο ενός συστήματος.

Το σφάλμα έχει διορθωθεί, όπως λέει η εταιρεία ασφαλείας, αλλά ο κώδικας με το σφάλμα είναι διαθέσιμος από τον Μάιο του 2008, κάτι που σημαίνει ότι μπορεί να πάρει χρόνο μέχρι η διόρθωση να εφαρμοστεί παντού.

Πηγή

Η ESET συνδέει εκτεταμένη διακοπή ρεύματος στην Ουκρανία με κυβερνο-κατασκοπεία

Οι ερευνητές υποστηρίζουν ότι δεν ήταν ένα μεμονωμένο περιστατικό και σχετίζεται με επιθέσεις σε μέσα ενημέρωσης, κυβερνητικές υπηρεσίες και άλλους παρόχους ενέργειας

Στις 23 Δεκεμβρίου τα μισά σπίτια της περιοχής Ivano-Frankivsk στην Ουκρανία, έμειναν χωρίς ηλεκτρικό ρεύμα για αρκετές ώρες, επηρεάζοντας περίπου 700.000 κατοίκους. Οι ερευνητές της ESET υποστηρίζουν ότι η διακοπή ρεύματος δεν ήταν ένα μεμονωμένο περιστατικό, καθώς και άλλοι πάροχοι ηλεκτρικής ενέργειας στην Ουκρανία είχαν αποτελέσει ταυτόχρονα στόχο κυβερνο-εγκληματιών.

Τα περιστατικά συνδέονται με επιθέσεις σε μέσα ενημέρωσης και στοχευμένη κυβερνο-κατασκοπεία ενάντια σε ουκρανικές κυβερνητικές υπηρεσίες. Αναλύοντας το κακόβουλο λογισμικό των επιθέσεων αυτών, KillDisk, οι ερευνητές της ESET διαπίστωσαν ότι η νέα παραλλαγή του συγκεκριμένου malware περιλαμβάνει κάποια πρόσθετη λειτουργία με στόχο να σαμποτάρει βιομηχανικά συστήματα.

Σύμφωνα με τους ερευνητές της ESET, οι επιτιθέμενοι χρησιμοποίησαν το backdoor του BlackEnergy για να εμφυτέψουν ένα στοιχείο του KillDisk στους υπολογιστές που στόχευαν, για να καταστήσουν αδύνατη τη λειτουργία της επανεκκίνησης.

Το backdoor trojan BlackEnergy έχει σπονδυλωτή δομή και περιλαμβάνει διάφορα στοιχεία, τα οποία γίνονται download για να εκτελέσουν συγκεκριμένες ενέργειες. Το 2014, χρησιμοποιήθηκε σε μια σειρά από επιθέσεις κατασκοπείας στον κυβερνοχώρο εναντίον στόχων υψηλού προφίλ στην Ουκρανία, που είχαν σχέση με την κυβέρνηση. Στις πρόσφατες επιθέσεις κατά των εταιρειών ηλεκτρικής ενέργειας, έγινε λήψη και εκτέλεση ενός καταστρεπτικού trojan KillDisk, σε συστήματα που είχαν ήδη μολυνθεί με το trojan BlackEnergy.

Πηγή

140 δολάρια η μέση ζημία ανά χρήστη Ιντερνετ που δέχθηκε κυβερνοεπίθεση

Ερευνα της Kaspersky Lab και της B2B International αποκάλυψε ότι το 41% των Ευρωπαίων χρηστών του Διαδικτύου αντιμετώπισε επίθεση από κακόβουλο λογισμικό τους τελευταίους 12 μήνες. Μάλιστα, στις περισσότερες περιπτώσεις (78%) αυτό είχε αρνητικές επιπτώσεις τόσο για τους χρήστες όσο και για τις συσκευές τους.

Οι επιθέσεις κακόβουλου λογισμικού στράφηκαν πιο συχνά εναντίον υπολογιστών Windows, με το 83% των χρηστών υπολογιστών Windows να δηλώνει ότι είχε επηρεαστεί κατά τους τελευταίους 12 μήνες. Ωστόσο, δεν έμειναν ανεπηρέαστοι ούτε οι χρήστες Android και Mac OS X, με το 13% και το 6% αντίστοιχα να αναφέρουν «μολύνσεις» στις συσκευές τους.

Το 10% των Ευρωπαίων χρηστών πιστεύει ότι η συσκευή του «μολύνθηκε» έπειτα από επίσκεψη σε μια ύποπτη ιστοσελίδα. Tο 5% ανέφερε ως αιτία της «μόλυνσης» τη χρήση USB δίσκου κάποιου τρίτου, το 6% ανέφερε μια άλλη «μολυσμένη» συσκευή, ενώ η εγκατάσταση κακόβουλης εφαρμογής που «μεταμφιέστηκε» σε νόμιμο πρόγραμμα αναφέρθηκε από το 7%. Επίσης, το 6% δήλωσε ότι οι συσκευές του «μολύνθηκαν» μετά το άνοιγμα ενός συνημμένου αρχείου σε email. Το μεγαλύτερο μέρος των Ευρωπαίων ερωτηθέντων (13%) δεν μπορούσε να εξηγήσει πως το κακόβουλο λογισμικό κατέληξε στη συσκευή του.

Αξίζει να σημειωθεί ότι τέσσερις στις πέντε «μολύνσεις» προκάλεσαν προβλήματα στα θύματά τους. Τις περισσότερες φορές (32% των περιπτώσεων στην Ευρώπη), οι χρήστες παρατήρησαν τις επιδόσεις του υπολογιστή τους να επιβραδύνονται, το 28% των ερωτηθέντων ανέφερε εμπειρίες με ενοχλητικά διαφημιστικά μηνύματα (π.χ. το πρόγραμμα περιήγησης να ανακατευθυνθεί σε ανεπιθύμητες ιστοσελίδες), ενώ το 18% των Ευρωπαίων χρηστών του Διαδικτύου βρήκε στις συσκευές του προγράμματα που δεν είχαν εγκατασταθεί με την άδειά του. Συνολικά, περίπου ένας στους τρεις (28%) Ευρωπαίους αντιμετώπισε οικονομικές απώλειες ως αποτέλεσμα της «μόλυνσης» από κακόβουλο λογισμικό. Εκτός από τα λύτρα που χρειάστηκε να πληρώσουν στους εγκληματίες, τα θύματα ξόδεψαν χρήματα για την ανάκτηση συσκευής ή δεδομένων, αλλά και για λογισμικό εξουδετέρωσης των συνεπειών της «μόλυνσης», ενώ κάποιοι αναγκάστηκαν ακόμη και να αγοράσουν μια καινούργια συσκευή για να αντικαταστήσουν την παλιά. Σε περιπτώσεις οικονομικών απωλειών, το μέσο κόστος μιας επίθεσης ανήλθε στα 140 δολ. για τους Ευρωπαίους χρήστες.

Τα κόστη και οι δυσάρεστες συνέπειες από τη «μόλυνση» με κακόβουλο λογισμικό μπορούν να αποφευχθούν με λίγη σύνεση. Για παράδειγμα, δεν χρειάζεται να τοποθετούμε μη ελεγμένα USB sticks σε μια συσκευή.

Πηγή

Επικίνδυνο malware χτυπάει iOS συσκευές, υποκλέπτοντας προσωπικά δεδομένα!

Μια ιδιαίτερα επικίνδυνη μολυσματική εφαρμογή για iOS ανακάλυψε πρόσφατα η Trend Micro, η οποία μπορεί να προσβάλλει τόσο τις κανονικές όσο και τις συσκευές που έχουν υποστεί jailbreak. Το επικίνδυνο malware μπορεί να “εισβάλει”  στα προσωπικά δεδομένα του χρήστη, υποκλέπτοντας επαφές, μηνύματα, εικόνες και άλλες πληροφορίες.

Το συγκεκριμένο malware με την ονομασία Xagent, καταφέρνει να εγκατασταθεί στη συσκευή του χρήστη αν αυτός ακολουθήσει ένα εξωτερικό link και αποτελεί τμήμα της συνολικής επίθεσης Operation Pawn Storm. Η συγκεκριμένη εκστρατεία έχει σκοπό να μολύνει όσες περισσότερες συσκευές χρηστών είναι εφικτό ξεκινώντας από απλούς χρήστες και κλιμακώνοντας την επίθεση να εισβάλει και σε συσκευές χρηστών με δεδομένα υψηλότερης διαβάθμισης που σχετίζονται κρίσιμες κρατικές ή ιδιωτικές υποδομές και υπηρεσίες.

Σύμφωνα με την αναφορά της Trend Micro, μόλις το εν λόγω malware εγκατασταθεί σε λειτουργικό iOS 7, θα τρέχει διαρκώς στο background και ακόμη και εάν ο χρήστης προσπαθεί να το σταματήσει, το εν λόγω software θα εξακολουθεί να εκκινεί μόνο του. Το καλό νέο σε αυτή την περίπτωση είναι ότι το iOS 8 δίνει τη δυνατότητα στους users να σταματήσουν την εφαρμογή ευκολότερα, καθώς στο νεότερο λειτουργικό εμφανίζεται ένα ορατό εικονίδιο, ενώ επιπλέον η συγκεκριμένη εφαρμογή δεν εκκινεί από μόνη της.

Σε κάθε περίπτωση, οι users θα πρέπει να είναι τρομερά προσεκτικοί και να μην πατούν ποτέ σε εξωτερικά links, τα οποία προέρχονται από πηγές που δεν γνωρίζουν.

Πηγή

Turla: Εργαλείο κατασκοπείας στοχεύει κυβερνήσεις και διπλωμάτες

Μία εκστρατεία κυβερνοκατασκοπείας που περιλαμβάνει τα γνωστά malware Wipbot και Turla έχει στοχεύσει συστηματικά κυβερνήσεις και πρεσβείες σε μία σειρά χωρών του πρώην Ανατολικού μπλοκ. Το Trojan.Wipbot (ή με την ονομασία Tavdig) αποτελείται από ένα back door που χρησιμοποιείται για να διευκολύνει την αναγνώριση της δραστηριότητας, πριν ο επιτιθέμενος μεταβεί σε μακρόχρονη παρακολούθηση με τη χρήση του Trojan.Turla (επίσης γνωστό και ως Uroboros, Snake και Carbon). Υπολογίζεται ότι αυτός ο συνδυασμός malware έχει χρησιμοποιηθεί σε κλασσικού τύπου δραστηριότητες κατασκοπείας τα τελευταία 4 χρόνια. Λόγω των επιλεγμένων στόχων και του εξελιγμένου malware που χρησιμοποιήθηκε, η Symantec πιστεύει ότι πίσω από αυτές τις επιθέσεις κρύβεται μία ομάδα που έλαβε κρατική χρηματοδότηση.

Το Turla προσφέρει στον επιτιθέμενο ισχυρές δυνατότητες κατασκοπείας. Σεταρισμένο να ξεκινά κάθε φορά που κάνει έναρξη ο υπολογιστής, μόλις ο χρήστης ξεκινήσει τη λειτουργία ενός Web browser, ανοίγει ένα back door που επιτρέπει την επικοινωνία με τους επιτιθέμενους. Μέσω αυτού του back door, οι επιτιθέμενοι μπορούν να αντιγράφουν αρχεία από τον μολυσμένο υπολογιστή, να σβήνουν αρχεία, και να φορτώνουν και να εκτελούν άλλες μορφές malware, μεταξύ άλλων δυνατοτήτων.

Η ομάδα πίσω από το Turla βασίζεται σε μία διττή στρατηγική επίθεσης που περιλαμβάνει μόλυνση των θυμάτων μέσω spear phishing emails και επιθέσεις τύπου watering hole.Οι επιθέσεις watering hole έχουν επαρκείς δυνατότητες έκθεσης, με τους επιτιθέμενους να παραβιάζουν μία σειρά νόμιμων ιστοσελίδων και να προσβάλουν μόνο τα θύματα που τις επισκέπτονται από προεπιλεγμένες ΙΡ διευθύνσεις. Αυτές οι παραβιασμένες ιστοσελίδες φέρουν το Trojan.Wipbot. Είναι πολύ πιθανό, ότι το Wipbot χρησιμοποιείται έπειτα ως downloader για να μεταφέρει τον Turla στο θύμα.

Θύματα

Ενώ οι μολύνσεις αρχικά εμφανίστηκαν σε μία σειρά από Ευρωπαϊκές χώρες, μία πιο βαθιά ανάλυση αποκάλυψε ότι αρκετές μολύνσεις στη Δυτική Ευρώπη έγιναν σε υπολογιστές που ήταν συνδεδεμένοι με ιδιωτικά δίκτυα των χωρών του πρώην Ανατολικού μπλοκ. Αυτές οι μολύνσεις συνέβησαν στις πρεσβείες των χωρών αυτών.

Ανάλυση στις μολύνσεις αποκάλυψε ότι οι επιτιθέμενοι είχαν εστιάσει σε ένα μικρό αριθμό χωρών. Για παράδειγμα, το Μάιο του 2012, το γραφείο του πρωθυπουργού μίας χώρας μέλους της πρώην Σοβιετικής Ένωσης παραβιάστηκε. Αυτή η μόλυνση εξαπλώθηκε γρήγορα και περισσότεροι από 60 υπολογιστές στο γραφείο του πρωθυπουργού τέθηκαν σε κίνδυνο.

Μία άλλη επίθεση έγινε σε έναν υπολογιστή στην πρεσβεία της Γαλλίας σε μία ακόμη χώρα που ανήκε στην πρώην Σοβιετική Ένωση, στο τέλος του 2012. Κατά τη διάρκεια του 2013, η μόλυνση εξαπλώθηκε σε άλλους υπολογιστές συνδεδεμένους με το δίκτυο του υπουργείου εξωτερικών της συγκεκριμένης χώρας. Επίσης, μολύνθηκε και το υπουργείο εσωτερικών. Επιπλέον έρευνα εντόπισε μία συστηματική εκστρατεία κατασκοπείας που είχε ως στόχο το διπλωματικό σώμα. Παρόμοιες μολύνσεις είχαν υποστεί πρεσβείες στο Βέλγιο, στην Ουκρανία, στην Κίνα, στην Ιορδανία, στην Ελλάδα, στο Καζακστάν, στην Αρμενία, στην Πολωνία και στη Γερμανία.

Τουλάχιστον πέντε ακόμη χώρες στην περιοχή έχουν γίνει στόχος παρόμοιων επιθέσεων. Ενώ οι επιτιθέμενοι έχουν κυρίως εστιάσει στο πρώην Ανατολικό μπλοκ, βρέθηκαν και άλλοι στόχοι. Αυτοί περιλαμβάνουν το υπουργείο υγείας μίας Δυτικοευρωπαϊκής χώρας, το υπουργείο παιδείας μίας χώρας στην Κεντρική Αμερική, μία κρατική αρχή ηλεκτρισμού στη Μέση Ανατολή και έναν οργανισμό παροχών υγείας στις Η.Π.Α.

Σημεία επίθεσης

Η ομάδα πίσω από τον Turla χρησιμοποιεί spear phishing emails και watering hole τύπου επιθέσεις για να μολύνει τα θύματά της. Ορισμένα από τα spear phishing emails υποτίθεται ότι προέρχονταν από έναν στρατιωτικό ακόλουθο μίας πρεσβείας στη Μέση Ανατολή και είχε ένα συνημμένο αρχείο που παρίστανε την σύνοψη μίας συνάντησης. Ανοίγοντας το αρχείο, αυτόματα το Trojan.Wipbot εισερχόταν στον υπολογιστή του θύματος. Πιστεύεται ότι το Wipbot μπορεί να είναι ο μηχανισμός πρόσβασης του Turla, καθώς μοιάζουν στη δομή και στον κώδικα.

Από τον Σεπτέμβριο του 2012, η ομάδα έχει παραβιάσει τουλάχιστον 84 νόμιμες ιστοσελίδες για να διευκολύνει τις επιθέσεις τύπου watering hole. Οι ιστοσελίδες που ανήκουν σε διάφορες κυβερνήσεις ή διεθνή πρακτορεία ήταν ανάμεσα σε εκείνες που παραβιάστηκαν από τους επιτιθέμενους.

Εικόνα1. Spear phishing emails και επιθέσεις τύπου watering hole χρησιμοποιούνται για να μολύνουν τα θύματα με τον Trojan.Wipbot, το οποίο μπορεί μετά να χρησιμοποιηθεί για να εγκατασταθεί το Trojan.Turla.

Turla

Η Symantec έχει εντοπίσει τις δραστηριότητες της ομάδας που έχει δημιουργήσει τον Turla εδώ και αρκετά χρόνια. Η ταυτότητα των επιτιθέμενων δεν έχει ακόμη πιστοποιηθεί, αν και όλες οι δραστηριότητες που σχετίζονται με τις επιθέσεις υποδεικνύουν ότι οι περισσότερες επιθέσεις συμβαίνουν κατά τη διάρκεια μίας εργάσιμης ημέρας στη ζώνη ώρας UTC +4.

Το trojan Turla είναι η εξέλιξη ενός παλαιότερου malware, του Trojan.Minit, το οποίο είχε ξεκινήσει τη δραστηριότητά του το 2004. Η σημερινή καμπάνια, είναι αποτέλεσμα μίας καλά καταρτισμένης ομάδας, που είναι ικανή να διεισδύει σε μία σειρά από δίκτυα. Εστιάζει σε στόχους που θα είχαν ενδιαφέρον σε κρατικούς φορείς, ενώ το αντικείμενό του είναι η κατασκοπεία και η υποκλοπή ευαίσθητων δεδομένων.

Η διασπορά των trojans γίνεται με τον εξής τρόπο.

Πηγή