Sākumlapa » Apdraudējumi » Kaspersky identificē Shadow Brokers noplūdē minētu noslēpumainu kiberspiegu grupējumu

Kaspersky identificē Shadow Brokers noplūdē minētu noslēpumainu kiberspiegu grupējumu

2017. gadā noslēpumaina hakeru grupa, kas pazīstama kā Shadow Brokers, tiešsaistē publicēja datu kopumu ar nosaukumu “Lost in Translation”. Kā ziņo ZDNet, šis datu kopums, kas, kā tiek uzskatīts, ticis iegūts no ASV Nacionālās drošības aģentūras (NSA), saturēja ekspluatējumus un uzlaušanas rīkus, tostarp bēdīgi slaveno ekspluatējumu EternalBlue, kas pēc tam tika izmantots WannaCry, NotPetya un Bad Rabbit ļaunprogrammatūrā 2017. gadā.

 

 

Datu kopumā “Lost in Translation” bija arī fails ar nosaukumu sigs.py. Šo failu NSA hakeri izmantoja, lai skenētu inficētos datorus, meklējot citu valsts līmeņa kiberuzbrucēju jeb APT klātbūtni. Kopumā skripts sigs.py ietvēra pazīmes 44 APT atklāšanai. Noplūdes brīdī daudzi no šiem APT bija nezināmi kiberdrošības nozarei. Tomēr nupat Kaspersky Globālā izpētes un analīzes komanda paziņoja, ka viņiem beidzot ir izdevies identificēt vienu no šiem noslēpumainajiem APT – proti, grupu, ko sigs.py identificēja ar signatūru #27. Kaspersky ziņo, ka signatūra #27 var identificēt failus, kas ietilpst ļaunprogrammatūras ietvarā DarkUniverse. Ar šo vārdu viņi apzīmē arī pašu APT, kura darbības tagad tiek pētītas.

Pētnieki saka, ka grupa DarkUniverse ir bijusi aktīva no 2009. līdz 2017. gadam, un, šķiet, ka pēc ShadowBrokers noplūdes apklususi. “Tās operāciju apturēšana var būt saistīta ar noplūdes “Lost in Translation” publicēšanu, vai arī uzbrucēji var vienkārši izlemt pāriet uz mūsdienīgāku pieeju un sākt izmantot plašāk pieejamus artefaktus savām operācijām,” saka GReAT komanda bloga ierakstā “DarkUniverse – the mysterious APT framework #27“, kurā sīki aprakstīta DarkUniverse ļaunprogrammatūras sistēma.

Uzņēmums saka, ka tas noteicis “aptuveni 20 upurus, kuru atrašanās vieta bija Sīrijā, Irānā, Afganistānā, Tanzānijā, Etiopijā, Sudānā, Krievijā, Baltkrievijā un Apvienotajos Arābu Emirātos”. Upuru skaitā bija gan civilās, gan militārās organizācijas, piemēram, medicīnas iestādes, atomenerģētikas organizācijas, militārās organizācijas un telekomunikāciju uzņēmumi. Tomēr Kaspersky eksperti uzskata, ka faktiskais upuru skaits var būt daudz lielāks.

atzīmē CyberScoop, Kaspersky nespekulē, kura valsts varētu stāvēt aiz DarkUniverse grupas kiberspiegošanas aktivitātēm, bet uzņēmums norāda, ka daži no grupas izmantotajiem kodiem pārklājas ar ItaDuke APT, kuru Kaspersky 2013. gadā pieķēra mērķējam ar ļaunprātīgiem PDF failiem uz Ķīnas uiguriem un tibetiešiem.

Ļaunprogrammatūra satur visus nepieciešamos moduļus visa veida informācijas apkopošanai par lietotāju un inficēto sistēmu, un šķiet, ka tā ir pilnībā izstrādāta no jauna,” raksta Kaspersky eksperti. “Unikālo kodu pārklāšanās dēļ mēs ar vidēju pārliecību pieņemam, ka DarkUniverse veidotāji bija saistīti ar ItaDuke darbību kopumu. Uzbrucēji bija labi apgādāti ar resursiem un turpināja atjaunināt ļaunprogrammatūru visā darbības laikā, tāpēc novērotie 2017. gada paraugi pilnīgi atšķiras no sākotnējiem paraugiem no 2009. gada.”

Rīkkopa DarkUniverse uzbrucējiem ļāva uzņemt ekrānuzņēmumus, iegūt īpašus failu sarakstus, apkopot informāciju par ierīces reģistru, apkopot un atšifrēt lietotājvārdus un paroles no Outlook Express, Internet Explorer, Windows Mail un citiem komunikāciju pakalpojumiem, kā arī daudzas citas iespējas.

Kas attiecas uz Shadows Brokers, tad vairāk nekā trīs gadus pēc tam, kad grupa publicēja NSA hakeru rīkus, nav zināms nekas nedz par pašu grupu, nedz veids, kā tā piekļuva NSA hakeru rīkiem.

Birkas:
Iepriekšējais raksts
Nākošais raksts

Komentēt

Jūsu e-pasts netiks publicēts. Obligātie lauki ir iezīmēti *

*

52 − 46 =

Uz augšu