Badacze z firmy Kaspersky wykryli wysoce wyrafinowaną kampanię cyberszpiegowską, której celem była kradzież informacji z placówek dyplomatycznych, rządowych oraz wojskowych w Azji Południowej. Kampania trwała prawie sześć lat i była powiązana z innymi atakami wykrytymi niedawno w tym regionie. Dalsze dochodzenie, w którym zbadano wykorzystywane w kampanii narzędzia i metody, wykazało, że sprawcami są członkowie ugrupowania cyberprzestępczego PLATINUM, które, według wiedzy badaczy, przestało już działać. Aby aktywność pozostawała niewidoczna przez tak długi okres, gang maskował swoje informacje przy użyciu steganografii – techniki pozwalającej ukryć sam fakt przekazywania informacji.
Specjaliści z firmy Kaspersky ostrzegali o zagrożeniach związanych ze steganografią już od jakiegoś czasu. Technika ta polega na przesyłaniu danych w ukrytej postaci, przy czym maskowany jest sam fakt przesyłania danych. Pod tym względem metoda różni się od kryptografii, w której ukrywane są wyłącznie dane. Dzięki steganografii ugrupowania cyberszpiegowskie mogą pozostać w zainfekowanym systemie przez długi czas bez wzbudzania podejrzeń. Taką metodę wykorzystało ugrupowanie PLATINUM atakujące rządy i powiązane organizacje w Azji Południowej i Południowo-Wschodniej, którego ostatnia znana aktywność została odnotowana w 2017 r.
W przypadku wykrytej niedawno operacji PLATINUM polecenia szkodliwego oprogramowania zostały osadzone w kodzie HTML strony internetowej. Tabulatory oraz spacje nie mają wpływu na to, jak kod HTML przekłada się na zawartość strony internetowej, dlatego cyberprzestępcy zakodowali polecenia przy użyciu określonej sekwencji tych dwóch znaków. W efekcie polecenia były prawie niemożliwe do wykrycia w ruchu sieciowym, ponieważ szkodliwe oprogramowanie wydawało się jedynie uzyskiwać dostęp do niewzbudzającej podejrzeń strony, która pozostawała niezauważalna w ogólnym ruchu.
W celu wykrycia szkodliwego oprogramowania badacze musieli sprawdzić programy, które potrafiły przesyłać pliki na urządzenie. Okazało się, że jeden z nich wykazywał nietypowe zachowanie – uzyskiwał dostęp do usługi w chmurze publicznej Dropbox i został tak zaprogramowany, aby działać jedynie w określonych godzinach. Jak zorientowali się później badacze, miało to na celu ukrycie aktywności szkodliwego oprogramowania wśród procesów uruchamianych w standardowych godzinach pracy, kiedy jego zachowanie nie wzbudziłoby podejrzeń. W rzeczywistości, szkodliwy moduł potajemnie pobierał i wysyłał dane oraz pliki na i z zainfekowanego urządzenia.
Dotychczas znane kampanie ugrupowania PLATINUM były wyrafinowane i precyzyjnie wykonane. To samo cechuje szkodliwe oprogramowanie wykorzystane w omawianym ataku – oprócz steganografii szkodnik stosuje inne metody, które pozwoliły mu uniknąć wykrycia przez długi czas. Potrafi on na przykład przesyłać polecenia nie tylko z centrum sterowania, ale również z jednej zainfekowanej maszyny na drugą. W ten sposób cyberugrupowanie mogło zainfekować nawet te urządzenia, które nie były połączone z internetem, jednak działały w ramach tej samej sieci wewnętrznej. Działanie cybergangów wykorzystujących steganografię, takich jak PLATINUM, oznacza, że zaawansowane zagrożenia unikają wykrycia, stosując coraz bardziej wyrafinowane metody, o czym powinni pamiętać dostawcy ochrony, tworząc swoje rozwiązania bezpieczeństwa – powiedział Aleksiej Szulmin, badacz ds. cyberbezpieczeństwa, Kaspersky.
Działania, które pomogą firmom zabezpieczyć się przed zaawansowanymi cyberzagrożeniami to:
- Wprowadź szkolenie w zakresie zwiększenia świadomości dot. bezpieczeństwa dla pracowników, podczas którego dowiedzą się, jak rozpoznać oraz unikać potencjalnie szkodliwych aplikacji oraz plików. Na przykład pracownicy nie powinni pobierać ani uruchamiać żadnych aplikacji ani programów z niezaufanych bądź nieznanych źródeł.
- W celu zapewnienia wykrywania na poziomie punktu końcowego, badania i niezwłocznego naprawiania szkód na skutek incydentów stosuj rozwiązania EDR.
- Oprócz niezbędnej ochrony punktów końcowych stosuj rozwiązanie zabezpieczające klasy korporacyjnej, które wykrywa zaawansowane zagrożenia na poziomie sieci na wczesnym etapie.
- Zapewnij swojemu zespołowi z centrum operacji bezpieczeństwa dostęp do najnowszych informacji dot. cyberzagrożeń, aby mógł na bieżąco poznawać najnowsze narzędzia, techniki oraz taktyki wykorzystywane przez cyberprzestępców.