Μία στοχευμένη επίθεση που προσπαθεί να κλέψει σημαντικές και ευαίσθητες πληροφορίες από διάφορους οργανισμούς, κυρίως στο Πακιστάν (με μειωμένη εξάπλωση στον υπόλοιπο κόσμο) ανακάλυψε και ανέλυσε η ESET. Οι έρευνες της ESET οδηγούν στο συμπέρασμα ότι η απειλή υφίσταται για τουλάχιστον 2 έτη και έχει ως κέντρο δράσης την Ινδία.
Αυτή η απειλή χρησιμοποιεί ένα πιστοποιητικό υπογραφής κώδικα που εκδίδεται από μία φαινομενικά νόμιμη εταιρία, για να υπογράψει κακόβουλα λογισμικά, βελτιώνοντας έτσι την ικανότητά τους να εξαπλωθούν. Η έδρα της εταιρίας ήταν στο Νέο Δελχί της Ινδίας, και το πιστοποιητικό εκδόθηκε το 2011. Το malware εξαπλώθηκε μέσα από έγγραφα συνημμένα σε emails.
«Έχουμε εντοπίσει αρκετά διαφορετικά έγγραφα με ποικίλα θέματα, πιθανά να προσελκύσουν το ενδιαφέρον των παραληπτών. Ένα από αυτά αφορά τις Ινδικές ένοπλες δυνάμεις. Δεν διαθέτουμε ακριβείς πληροφορίες όπως το ποια ακριβώς άτομα ή οργανισμούς στόχευαν αυτά τα αρχεία, άλλα σύμφωνα με τις έρευνές μας, υποθέτουμε ότι στόχο αποτελούσαν άτομα και οργανισμοί στο Πακιστάν,» δήλωσε σχετικά ο Jean-Ian Boutin, Malware Researcher της ESET. Για παράδειγμα, ένα από τα ψεύτικα αρχεία PDF παραδόθηκε μέσα από ένα αρχείο αυτόματης εξαγωγής με την ονομασία «pakistandefencetoindiantopmiltrysecreat.exe», και τα τηλεμετρικά δεδομένα της ESET καταδεικνύουν ότι το Πακιστάν έχει μολυνθεί αρκετά από αυτή την καμπάνια, εμφανίζοντας ποσοστό ανίχνευσης 79%.
Ο πρώτος φορέας μόλυνσης χρησιμοποιούσε ένα ευρέως χρησιμοποιούμενο τρωτό σημείο γνωστό ως CVE-2012-0158. Αυτή η ευπάθεια μπορεί να χρησιμοποιηθεί από ειδικά δημιουργημένα έγγραφα του Microsoft® Office και επιτρέπει την εκτέλεση αυθαίρετων κωδικών. Τα έγγραφα παραδόθηκαν μέσω email, και ο κακόβουλος κώδικας εκτελέστηκε χωρίς καν ο χρήστης του μολυσμένου υπολογιστή να το γνωρίζει. Ο άλλος φορέας μόλυνσης εξαπλώθηκε μέσω αρχείων εκτέλεσης των Windows με τη μορφή εγγράφων Word ή PDF – πάλι μέσω email. Και στις δύο περιπτώσεις, για να μην υποψιαστεί το θύμα, τα πλαστά έγγραφα εμφανίζονται στο χρήστη κατά την εκτέλεση.
Το malware έκλεβε ευαίσθητα δεδομένα από τους μολυσμένους υπολογιστές και τα έστελνε στους servers των επιτιθέμενων. Χρησιμοποιούσε πλήθος τεχνικών κλοπής δεδομένων, όπως key-logger, λήψη screenshots και φόρτωση αρχείων στον υπολογιστή του επιτιθέμενου. Ιδιαίτερο ενδιαφέρον παρουσιάζει το γεγονός ότι τα κλεμμένα δεδομένα «ανέβαιναν» μη κρυπτογραφημένα στο server του επιτιθέμενου. «Η απόφαση να μη χρησιμοποιηθεί κρυπτογράφηση δημιουργεί ερωτήματα δεδομένου ότι η προσθήκη βασικής κρυπτογράφησης θα ήταν εύκολη και θα πρόσφερε επιπλέον προστασία από την ανίχνευση,», συμπληρώνει ο Jean-Ian Boutin.
Πλήρης τεχνική ανάλυση της επίθεσης διατίθεται στο WeLiveSecurity.com – – τη νέα πλατφόρμα της ESET με τις πιο πρόσφατες πληροφορίες και αναλύσεις για κυβερνοαπειλές και χρήσιμες συμβουλές ασφαλείας.
Ονομασίες Ανίχνευσης
Παρακάτω βρίσκεται λίστα με ονομασίες της ESET για τις απειλές που σχετίζονται με αυτή την πολύπλευρη και multi-vector επίθεση:
Win32/Agent.NLD worm
Win32/Spy.Agent.NZD Trojan
Win32/Spy.Agent.OBF Trojan
Win32/Spy.Agent.OBV Trojan
Win32/Spy.KeyLogger.NZL Trojan
Win32/Spy.KeyLogger.NZN Trojan
Win32/Spy.VB.NOF Trojan
Win32/Spy.VB.NRP Trojan
Win32/TrojanDownloader.Agent.RNT Trojan
Win32/TrojanDownloader.Agent.RNV Trojan
Win32/TrojanDownloader.Agent.RNW Trojan
Win32/VB.NTC Trojan
Win32/VB.NVM Trojan
Win32/VB.NWB Trojan
Win32/VB.QPK Trojan
Win32/VB.QTV Trojan
Win32/VB.QTY Trojan
Win32/Spy.Agent.NVL Trojan
Win32/Spy.Agent.OAZ trojan
Σχετικά με την ESET
Η ESET ιδρύθηκε το 1992 και αποτελεί μία εταιρεία δημιουργίας λύσεων λογισμικού ασφάλειας, τα οποία προσφέρουν άμεση και πλήρη προστασία από τις εξελισσόμενες απειλές του διαδικτύου, για επιχειρήσεις και οικιακούς χρήστες. Η ESET πρωτοστάτησε και συνεχίζει να ηγείται στη βιομηχανία, όσον αφορά την προληπτική ανίχνευση ηλεκτρονικών απειλών. Το ESET NOD32 Antivirus κατέχει ρεκόρ βραβείων “VB100” από το περιοδικό Virus Bulletin, χωρίς να έχει χάσει κανένα “In-the-Wild” worm ή ιό, από την πρώτη συμμετοχή της στις συγκριτικές δοκιμές, το 1998. Έχει διακριθεί ως μία από τις πιο καινοτόμες εταιρείες στην Ευρώπη στα HSBC European Business Awards το 2011 και έχει βραβευθεί πολλές φορές από τα AV-Comparatives, τα AV Test και άλλους οργανισμούς. Τα ESET NOD32 Antivirus, ESET Smart Security, ESET Mobile Security και ESET Cybersecurity (λύση για Mac) αποτελούν τις πιο προτεινόμενες λύσεις ασφάλειας στον κόσμο.
Τα κεντρικά γραφεία της εταιρείας βρίσκονται στην Μπρατισλάβα (Σλοβακία), με περιφερειακά κέντρα στις περιοχές: Σαν Ντιέγκο (Η.Π.Α.), Μπουένος Άιρες (Αργεντινή), και Σιγκαπούρη. Επίσης, η εταιρεία διαθέτει πολυάριθμα ερευνητικά κέντρα ανά τον κόσμο σε Μπρατισλάβα, Σαν Ντιέγκο, Μπουένος Άιρες, Πράγα (Τσεχία), Κρακοβία (Πολωνία), Μόντρεαλ (Καναδάς), Μόσχα (Ρωσία), καθώς επίσης αντιπροσωπεύεται σε 180 χώρες, από ένα εκτεταμένο δίκτυο συνεργατών.
eset.com