Kaspersky Lab - Vislabākā aizsardzība!
Sākumlapa » Apdraudējumi » Kiberspiegošanas grupējums Platinum uzbrūk Dienvidāzijas valstu valdībām

Kiberspiegošanas grupējums Platinum uzbrūk Dienvidāzijas valstu valdībām

ziņo izdevums IEEE Spectrum, sekojot aizdomīgām digitālajām pēdām, kuras saglabājušās mākonī bāzētās Dienvidāzijas sistēmās, Kaspersky drošības pētnieki atklājuši uz steganogrāfiju balstītu uzbrukumu, kuru veikusi kiberspiegošanas grupa, dēvēta par Platinum. Uzbrukums vērsts pret reģiona valstiskajām, militārajām un diplomātiskajām struktūrām.

 

 

Platinum bija aktīvs pagātnē un tika uzskatīts, ka grupējums ir izbeidzis darbību. Kaspersky kiberpēddziņiem tomēr radušās aizdomas, ka Platinum varētu darboties pagrīdē jau kopš 2012. gada, izmantojot “rūpīgi izplānotu un izstrādātu” kampaņu, kura ļāvusi grupai daudzus gadus darboties nemanāmi.

Grupas pēdējā kampaņā izmantots klasisks hakeru instruments, dēvēts par steganogrāfiju. “Par steganogrāfiju tiek saukta prasme noslēpt jebkura formāta datni vai saziņu citā datnē, lai nepieļautu to, ka neiesaistīti cilvēki varētu atklāt [slēpto] sākotnējo datni vai ziņojumu,” stāsta Somdips Dejs (Somdip Dey), Lielbritānijā dzīvojošs datorzinātnieks, kurš īpaši interesējas par steganogrāfiju Eseksas universitātē un Samsung pētniecības institūtā.

Platinum izmantoja divpakāpju uzbrukumu, izmantojot tā saukto piggybacking HTML lapām, lai uzbrukums būtu nemanāms. “[Vispirms] PowerShell skripts, kurš parasti tiek izmantots dažādu uzdevumu automatizācijai, tiek izmantots, lai lejupielādētu citu PowerShell skriptu, kurš savukārt atver lūku sakaru kanālam ar teksta steganogrāfijas izmantošanu,” skaidro Dejs. Skripta aktivizēšanās bija ieprogrammēta noteiktā laikā, lai to nevarētu atklāt lietotāji un antivīrusu programmas, bet darbība notika cilpas režīmā, lai pārdzīvotu sistēmas pārstartēšanu. Pēc tam skripts caur lūku pieslēdzās attālinātam ļaunprogrammatūras serverim, lai lejupielādētu HTML lapu, kura saturēja kodētas komandas un HTML kodā paslēptu šifrēšanas atslēgu.

Kaspersky atklāja divas steganogrāfijas metodes kodā, kuru analizēja kompānijas pētnieki. Pirmais noslēpa kodēto ziņojumu HTML tabulu atribūtos alignbgcolorcolspan un rowspan, kur katrs atribūts pārnesa vienu informācijas bitu. Bīstamā tabula bija noslēpta HTML komentāru tegos, tādēļ atstarpes un tabulas kodā neietekmēja interneta lapas izskatu un ekspluatējumu bija grūti atklāt. Otrs paņēmiens izmantoja koda atslēgas slēpšanai atstarpju grupas, kuras norobežoja tabulas.

“Ļaunprogrammatūras skripts analizē ikvienu HTML koda rindiņu, lai atšifrētu kodēto ziņojumu un šifra atslēgu”, turpina Dejs. “[Pēc tam, kad] atkodēts ziņojums un šifra atslēga, ziņojuma atšifrēšanai tiek izmantots algoritms AES-256, kurš…atsedz uzbrukuma turpināšanai nepieciešamās komandas.”

 

Grupējuma Platinum uzbrukumos, iefiltrējoties valdību sistēmās, slēptās komandas tika atšifrētas ar algoritmu AES-256. Attēls: Kaspersky.

Grupējuma Platinum uzbrukumos, iefiltrējoties valdību sistēmās, slēptās komandas tika atšifrētas ar algoritmu AES-256. Attēls: Kaspersky.

Kaspersky veiktie pētījumi liecina, ka uzbrucēji no Platinum mēģināja piekļūt konfidenciālai informācijai un izlūkošanas datiem, nenodarot tiešus bojājumus ierīcēm, tīkliem un sistēmām. Platinum joprojām ir “aktīvs un nemitīgi pilnveido savus līdzekļus”.

Birkas:
Iepriekšējais raksts
Nākošais raksts

Komentēt

Jūsu e-pasts netiks publicēts. Obligātie lauki ir iezīmēti *

*

+ 22 = 25

Kaspersky Lab - Vislabākā aizsardzība, lieliskas cenas!
Uz augšu