Eksperci z firmy Check Point wykryli serię cyberataków przypuszczanych w ramach kampanii nazwanej “Volatile Cedar”. Jej założeniem jest wykorzystywanie w atakach na infrastrukturę informatyczną zindywidualizowanego złośliwego programu określanego kryptonimem “Explosive”. Prowadzona od początku 2012 r. kampania umożliwiła skuteczny dostęp do zasobów dużej liczby celów na całym świecie, dzięki czemu atakujący mogli monitorować działania ofiar i wykradać im dane.
Według potwierdzonych informacji zaatakowane organizacje to zarówno podmioty działające w sektorze obrony, telekomunikacji i mediów, jak i instytucje edukacyjne. Charakter ataków oraz ich skutki świadczą o tym, że atakujący nie działają z pobudek finansowych, ale kierują się chęcią uzyskania dostępu do wrażliwych informacji organizacji będących przedmiotem ataku.
Najważniejsze ustalenia:
- “Volatile Cedar” to doskonale zarządzana i skoncentrowana kampania – cele są dobierane bardzo starannie, tak aby do minimum ograniczyć rozprzestrzenienie złośliwego oprogramowania przy jednoczesnym osiągnięciu celu ataku i zminimalizowaniu ryzyka wykrycia.
- Pierwszą wersję oprogramowania “Explosive” wykryto w listopadzie 2012 r. Z biegiem czasu pojawiło się kilka nowych.
- Sposób działania tej grupy hakerów obejmuje w pierwszej kolejności atak na publicznie dostępne serwery sieciowe, z automatycznym i ręcznym wykrywaniem słabych punktów podatnych na atak.
- Po przejęciu kontroli nad serwerem atakujący może wykorzystać go jako punkt wyjściowy do przeglądania, identyfikowania i atakowania dodatkowych celów zlokalizowanych głębiej w strukturze wewnętrznej sieci. Wykryto dowody zarówno ręcznych włamań do systemu przez sieć, jak i automatyczne mechanizmy infekcji przez USB.
“Volatile Cedar” to bardzo interesująca kampania wykorzystująca złośliwe oprogramowanie.
Od samego początku była skuteczna i prowadzona w sposób nieprzerwany, przy czym jej wykrycie utrudniają dokładne planowanie i doskonałe zarządzanie, pozwalające na stałe monitorowanie działań ofiar oraz szybkie reagowanie na wykryte incydenty — powiedział Dan Wiley, dyrektor Działu Reagowania na Zdarzenia i Zbierania Informacji o Zagrożeniach w Check Point Software Technologies.
To jedno z oblicz przyszłych ataków skoncentrowanych na konkretnych celach: złośliwe oprogramowanie, które pozwala na ciche obserwowanie sieci, wykradanie danych oraz szybką adaptację w przypadku wykrycia przez systemy antywirusowe.
Czas, by organizacje zaczęły bardziej proaktywnie podchodzić do kwestii zabezpieczenia swoich sieci.