W styczniu 2019 r. firma Kaspersky rozpoczęła dochodzenie dotyczące działań ugrupowania Transparent Tribe ukierunkowanych na rozprzestrzenianie szkodnika Crimson dającego atakującym zdalny dostęp do zainfekowanych maszyn. Ugrupowanie to rozpoczynało ataki od wysyłania ofiarom szkodliwych dokumentów Microsoft Office w spersonalizowanych wiadomościach phishingowych. W ciągu zaledwie roku badacze zidentyfikowali ponad 1 000 celów takich ataków w niemal 30 krajach. Badanie ujawniło również nowe, nieznane wcześniej komponenty trojana Crimson świadczące o ciągłym rozwoju tego szkodnika. Dane te pochodzą z pierwszej części dochodzenia opublikowanego przez firmę Kaspersky.
Transparent Tribe (znany również jako PROJECTM oraz MYTHIC LEOPARD) to niezwykle “produktywny” cybergang powszechnie znany w branży cyberbezpieczeństwa z przeprowadzanych na dużą skalę kampanii szpiegowskich. Jego aktywność sięga 2013 r. i jest monitorowana przez firmę Kaspersky od 2016 r.
Preferowaną metodą infekcji tego ugrupowania jest wykorzystanie szkodliwych dokumentów pakietu Microsoft Office z osadzonymi makrami. Z kolei głównym szkodliwym oprogramowaniem jest specjalnie przygotowany koń trojański umożliwiający zdalny dostęp do maszyn ofiar, powszechnie znany jako Crimson. Narzędzie to składa się z różnych komponentów pozwalających atakującym na wykonywanie szeregu działań na zainfekowanych komputerach – od zarządzania zdalnymi systemami plików oraz przechwytywania zrzutów ekranu po inwigilację audio przy użyciu mikrofonu, nagrywanie strumieni wideo z kamer internetowych oraz kradzież plików z nośników wymiennych.
Chociaż taktyki i techniki stosowane przez Transparent Tribe pozostawały niezmienne przez lata, badanie firmy Kaspersky ujawniło, że ugrupowanie to nieustannie tworzy nowe programy przeznaczone dla konkretnych kampanii. Analizując aktywność ugrupowania w zeszłym roku, badacze zauważyli plik, który produkty firmy Kaspersky wykrywały jako Crimson RAT. Jednak szczegółowe dochodzenie wykazało, że mają oni do czynienia z czymś innym – nowym komponentem trojana Crimson po stronie serwera wykorzystywanym przez cyberprzestępców do zarządzania zainfekowanymi maszynami. Występował on w dwóch wersjach i został skompilowany w roku 2017, 2018 oraz 2019, co świadczy o tym, że oprogramowanie to jest wciąż rozwijane, a cybergang pracuje nad udoskonalaniem go.
Po uaktualnieniu listy komponentów wykorzystywanych przez Transparent Tribe badacze z firmy Kaspersky mogli zaobserwować, w jaki sposób ugrupowanie to ewoluowało – jak przyspieszyło swoje działania, rozpoczęło kampanie infekcji na szeroką skalę, opracowało nowe narzędzia i skierowało większą uwagę na Afganistan.
Biorąc pod uwagę wszystkie komponenty wykryte w okresie od czerwca 2019 r. do czerwca 2020 r., badacze z firmy Kaspersky zidentyfikowali 1 093 celów w 27 krajach. Najbardziej dotknięte kraje to: Afganistan, Pakistan, Indie, Iran oraz Niemcy.
Z naszego dochodzenia wynika, że Transparent Tribe nadal prowadzi intensywne działania skierowane przeciwko różnym celom. Na przestrzeni minionych 12 miesięcy zaobserwowaliśmy szeroką kampanię, której cel stanowiły placówki dyplomatyczne i w której ugrupowanie to wykorzystywało potężną infrastrukturę wspomagającą jej działania oraz ciągłe udoskonalenia w swoim arsenale. Transparent Tribe wciąż inwestuje w swojego głównego trojana – Crimson – w celu prowadzenia działań wywiadowczych i szpiegowania celów wysokiego szczebla. Nic nie wskazuje na jakiekolwiek spowolnienie aktywności tego ugrupowania w najbliższej przyszłości. Z pewnością będziemy monitorowali jego działania – powiedział Giampaolo Dedola, ekspert ds. cyberbezpieczeństwa z firmy Kaspersky.