Cercetatorii Kaspersky au descoperit o campanie complexa de spionaj cibernetic, menita sa fure informatii de la entitati diplomatice, guvernamentale si militare din Asia de Sud. Campania a durat aproape sase ani si a avut legaturi cu alte atacuri recente din regiune. O investigatie mai ampla asupra instrumentelor si metodelor folosite in campanie i-a condus pe cercetatori la concluzia ca atacatorul este grupul PLATINUM - un atacator de spionaj cibernetic pe care il crezusera disparut. Pentru ca activitatea sa sa ramana neobservata o perioada atat de lunga, grupul a codat informatiile folosind o tehnica denumita steganografie, care ascunde faptul ca ar fi transmisa vreo informatie.Cercetatorii in domeniul securitatii au avertizat mai de mult in legatura cu pericolele steganografiei. Steganografia este practica de a transfera date intr-un format ascuns, astfel incat nici sa nu fie banuita existenta acestor date. Astfel, difera de criptografie, care ascunde datele. Folosind steganografia, autorii campaniilor de spionaj cibernetic pot ramane vreme indelungata intr-un sistem infectat, fara sa trezeasca suspiciuni. Aceasta metoda a fost folosita de grupul PLATINUM, o actiune colectiva impotriva guvernelor si a organizatiilor care au legatura cu acestea, din Asia de Sud si Sud-Est. Ultima activitate cunoscuta a grupului fusese detectata in 2017.
In cazul operatiunii PLATINUM, recent descoperite, comenzile malware erau incluse in codul HTML al unui site. Tastele „tab” si „spatiu” nu schimba modul in care codul HTML este reflectat pe o pagina web, astfel incat autorii au codat comenzile intr-o secventa specifica a acestor doua taste. Prin urmare, comenzile erau aproape imposibil de detectat in traficul retelei, pentru ca malware-ului de-abia aparea, ca sa acceseze un site care nu era suspect si nu era detectabil in traficul general.
Pentru a detecta malware-ul, cercetatorii au trebuit sa verifice programele capabile sa incarce fisiere pe dispozitiv. Dintre ele, expertii au observat unul care se comporta ciudat - de exemplu, accesa serviciul cloud public Dropbox pentru administrare si era programat sa functioneze doar in anumite momente. Cercetatorii si-au dat seama ulterior ca acest lucru se intampla pentru a ascunde activitatea malware printre procesele care functioneaza in timpul orelor de munca, atunci cand comportamentul sau nu ar trezi suspiciuni. De fapt, downloader-ul extragea si incarca date si fisiere pe si de pe dispozitivul infectat.
„Campaniile cunoscute ale grupului PLATINUM au fost elaborate si realizate atent. Malware-ul folosit in acest caz nu face exceptie - in afara de steganografie, avea alte caracteristici care ii permite sa functioneze in secret o perioada indelungata. De exemplu, putea sa transfere comenzile nu doar din centrul de comanda, ci si de pe un dispozitiv infectat pe altul. Astfel, puteau ajunge pe dispozitive care erau parte din aceeasi infrastructura cu cele atacate, dar care nu erau conectate la Internet. In concluzie, implementarea steganografiei de catre grupuri ca PLATINUM este un semn ca amenintarile avansate si persistente isi cresc semnificativ complexitatea metodelor pentru a ramane nedetectate, iar companiile de securitate ar trebui sa fie constiente de acest lucru atunci cand isi dezvolta solutiile de securitate”, spune Alexey Shulmin, security researcher la Kaspersky.
Pentru a reduce riscul de a cadea victima unor operatii complexe de spionaj cibernetic:
- Introduceti training-uri de constientizare privind securitatea cibernetica pentru angajati, care sa ii invete cum sa recunoasca si sa evite aplicatii sau fisiere potential periculoase. De exemplu, angajatii nu ar trebui sa descarce si sa instaleze aplicatii sau programe din surse necunoscute sau care nu prezinta incredere.
- Pentru detectia la nivel endpoint, investigatia si remedierea rapida a incidentelor, implementati solutii EDR (Endpoint Detection and Response).
- Dati-i echipei SOC acces la cele mai recente rapoarte despre amenintari, pentru a fi la curent cu cele mai noi instrumente, tehnici si tactici ale atacatorilor.
- Pe langa adoptarea unei protectii endpoint de baza, folositi o solutie de securitate pentru companii, care detecteaza amenintarile avansate intr-un stadiu incipient - de tipul Kaspersky Anti Targeted Attack Platform.
