Wtorek, 23 sierpnia 2016, 10:32
Operacja Ghoul: cyberprzestępcy biorą na celownik organizacje przemysłowe, wykorzystując gotowe szkodliwe oprogramowanie
Kaspersky Lab zidentyfikowali nową falę ataków ukierunkowanych wymierzonych w sektor przemysłowy i inżynieryjny w wielu krajach. Stosując odpowiednio spreparowane wiadomości e-mail oraz szkodliwe oprogramowanie oparte na komercyjnym zestawie do tworzenia narzędzi szpiegujących (tzw. spyware), przestępcy polują na cenne dane biznesowe przechowywane w sieciach swoich ofiar. Łącznie grupa Ghoul skutecznie zaatakowała ponad 130 organizacji z 30 krajów, w tym Hiszpanii, Pakistanu, Zjednoczonych Emiratów Arabskich, Indii, Egiptu, Wielkiej Brytanii, Niemiec, Arabii Saudyjskiej oraz innych państw.W czerwcu 2016 r. badacze z Kaspersky Lab zauważyli falę phishingowych wiadomości e-mail zawierających szkodliwe załączniki. E-maile te były wysyłane głównie do menedżerów najwyższego i średniego szczebla wielu organizacji. Wiadomości wydawały się pochodzić z banku w Zjednoczonych Emiratach Arabskich: wyglądały jak powiadomienie o płatności z banku z załączonym dokumentem SWIFT, w rzeczywistości jednak archiwum to kryło szkodliwe oprogramowanie.
Dalsze dochodzenie przeprowadzone przez analityków z Kaspersky Lab ujawniło, że wiadomości były najprawdopodobniej wysyłane przez ugrupowanie cyberprzestępcze śledzone przez badaczy firmy od marca 2015 r. Wygląda na to, że czerwcowe ataki to najnowsza operacja tej grupy.
Ukryte w załączniku szkodliwe oprogramowanie zostało stworzone w oparciu o komercyjny program spyware HawkEye, który jest sprzedawany w podziemiu cyberprzestępczym (tzw. sieć Darkweb), oferując szereg różnych narzędzi atakującym. Po zainstalowaniu gromadzi określone dane z komputera ofiary, w tym:
Dane te są następnie wysyłane do serwerów kontroli cyberprzestępców. Na podstawie analizy takich serwerów eksperci z Kaspersky Lab twierdzą, że większość ofiar to organizacje działające w sektorze przemysłowym i budowy maszyn, a pozostałe stanowią podmioty z branży transportowej, farmaceutycznej, produkcyjnej, firmy handlowe, organizacje edukacyjne i inne.
Wszystkie te firmy posiadają cenne informacje, które można sprzedać na czarnym rynku – zysk finansowy to główny motyw działania osób odpowiedzialnych za operację Ghoul.
Operacja Ghoul to jedna spośród wielu kampanii, które są prawdopodobnie kontrolowane przez tę samą grupę. Grupa ta jest wciąż aktywna.
- Szkodliwe oprogramowanie wykorzystywane przez ugrupowanie stojące za operacją Ghoul pod następującymi nazwami:
- Trojan.MSIL.ShopBot.ww
- Trojan.Win32.Fsysna.dfah
- Trojan.Win32.Generic
Wersja do druku
Podobne tematy
Starsze
ProjectSauron: zaawansowana platforma szpiegowska przechwytująca zaszyfrowaną komunikację rządową, 10:25
Wzrost liczby sieci zainfekowanych komputerów z systemem Linux, 10:22
Nowsze
Wybory w Stanach Zjednoczonych oraz Donald Trump - spam w II kw. 2016 r., 10:36
Redakcja nie ponosi odpowiedzialności za wypowiedzi Internautów opublikowane na stronach serwisu oraz zastrzega sobie prawo do redagowania, skracania bądź usuwania komentarzy zawierających treści zabronione przez prawo, uznawane za obraźliwie lub naruszające zasady współżycia społecznego.
Brak komentarzy. Może warto dodać swój własny?
Copyright © 2002-2024 | Prywatność | Load: 3.13 | SQL: 11 | Uptime: 194 days, 22:23 h:m |
Wszelkie uwagi prosimy zgłaszać pod adresem eddy@heh.pl