Cyberprzestępcy atakują. Prowadzą kampanię "Machete"

Wszystko wskazuje na to, że kampania rozpoczęła się w 2010 roku, a dwa lata później została udoskonalona o odnowioną infrastrukturę. Do rozprzestrzeniania szkodliwego oprogramowania osoby atakujące wykorzystały socjotechnikę.

Kaspersky Lab poinformował o wykryciu nowej kampanii cyberszpiegowskiej o nazwie Machete. Na celowniku przestępców znalazły się organizacje o kluczowym znaczeniu, w tym: rządy, wojsko, organy ścigania oraz ambasady. Ataki trwają przynajmniej od czterech lat, a głównym obszarem prowadzenia kampanii jest Ameryka Łacińska, chociaż wśród celów znalazły się także organizacje z Europy. Atakujący polują na poufne informacje. Jak dotąd zdołano przechwycić gigabajty poufnych danych.

- Chociaż narzędzia wykorzystane w tej kampanii są proste, efekt świadczy o dużej skuteczności Maczety. Wygląda na to, że cyberprzestępcy w Ameryce Łacińskiej stosują znane na całym świecie techniki wykorzystywane w ukierunkowanych operacjach cyberprzestępczych. Spodziewamy się, że lokalne kampanie cyberszpiegowskie osiągną wyższy poziom zaawansowania technologicznego, a nowe kampanie APT będą podobne, z technicznego punktu widzenia, do tych przeprowadzanych przez najważniejszych graczy na świecie. Najlepsza rada, jakiej można udzielić w tej sytuacji, jest następująca: z jednej strony należy myśleć o bezpieczeństwie na poziomie globalnym, z drugiej strony nie można postrzegać państw Ameryki Łacińskiej jako wolnych od tego typu zagrożeń - powiedział Dmitrij Bestużew, szef Globalnego Zespołu ds. Badań i Analiz na terytorium Ameryki Łacińskiej, Kaspersky Lab.

Wszystko wskazuje na to, że kampania Machete rozpoczęła się w 2010 roku, a dwa lata później została udoskonalona o odnowioną infrastrukturę. Do rozprzestrzeniania szkodliwego oprogramowania osoby atakujące wykorzystały socjotechnikę.

W niektórych przypadkach wykorzystywano wiadomości ukierunkowane na określone cele w połączeniu z opartymi na sieci infekcjami rozprzestrzenianymi za pośrednictwem specjalnie stworzonych fałszywych blogów. Na chwilę obecną nic nie wskazuje na istnienie exploitów wykorzystujących niezałatane jeszcze luki.

Wszystkie zidentyfikowane w tej kampanii rozwiązania techniczne, takie jak narzędzia cyberszpiegowskie oraz kod po stronie klienta, charakteryzują się raczej niskim poziomem zaawansowania technologicznego w porównaniu z innymi operacjami ukierunkowanymi. Mimo to eksperci z Kaspersky Lab zdołali zidentyfikować 778 ofiar na całym świecie.

Na podstawie dowodów uzyskanych w wyniku dochodzenia przeprowadzonego przez Kaspersky Lab eksperci ustalili, że osoby stojące za Maczetą posługują się językiem hiszpańskim i posiadają korzenie w Ameryce Łacińskiej. Ponadto atakowane były głównie państwa z Ameryki Łacińskiej. W przypadku zidentyfikowania celów spoza tego regionu czasami wykrywano powiązanie z Ameryką Łacińską. Na przykład, w Rosji cel stanowiła ambasada jednego z państw Ameryki Łacińskiej.

Znalezione na zainfekowanych komputerach narzędzie cyberszpiegowskie potrafi wykonywać różne funkcje i operacje, takie jak kopiowanie plików na zdalny serwer lub specjalne urządzenie USB, przechwytywanie zawartości schowka tymczasowego, rejestrowanie znaków wprowadzanych z klawiatury, przechwytywanie danych audio z mikrofonu komputera, wykonywanie zrzutów ekranu, uzyskiwanie danych geolokacyjnych oraz wykonywanie zdjęć przy pomocy kamery internetowej na zainfekowanych komputerach.

Opisywana kampania posiada nietypową funkcję techniczną: wykorzystywanie kodu języka Python skompilowanego do postaci plików wykonywalnych systemu Windows. Oprócz ułatwienia kodowania nie daje to żadnych innych korzyści osobom atakującym.

Nic nie wskazuje na to, że narzędzia te obsługują wiele platform, ponieważ kod jest wyraźnie zorientowany na system Windows. Jednak eksperci ds. bezpieczeństwa zidentyfikowali kilka wskazówek sugerujących, że cyberprzestępcy stworzyli także równoległe infrastruktury dla ofiar wykorzystujących systemy OS X oraz Unix. Oprócz komponentów systemu Windows wykryto również ślady wskazujące na moduł mobilny dla systemu Android.

Pracownik rozłoży firmę szybciej niż haker

Aż 96 proc. ankietowanych Amerykanów, którzy korzystają z publicznego transportu, wykonuje swoje czynności służbowe za pośrednictwem ogólnodostępnego w nich Wi-Fi. Jednocześnie, aż jedna piąta respondentów przyznaje, że na swoim tablecie lub smarfonie nie ma hasła zabezpieczającego lub nawet PIN-u - to wnioski z badania firmy GFI Software.

Zdaniem ekspertów firmy doradczej Deloitte te dane powinny być niepokojące dla firm, które nie mają sposobów na odpowiednią ochronę swoich danych i systemów IT biorąc pod uwagę wskazane nawyki użytkowników w korzystaniu z urządzeń mobilnych. Edukacja pracowników, którzy muszą nauczyć się jak bezpiecznie korzystać z urządzeń mobilnych w celach zawodowych powinna stać się dla firm priorytetem.

Pobierz ebook "Social media marketing dla firm i agencje się w nim specjalizujące"