Η Kaspersky Lab ανακαλύπτει το Grabit

Η Kaspersky Lab ανακάλυψε πρόσφατα το Grabit, μια νέα ψηφιακή εκστρατεία εταιρικής κατασκοπείας που έχει καταφέρει να υποκλέψει περίπου 10.000 αρχεία από μικρομεσαίες επιχειρήσεις, οι οποίες βρίσκονταν κυρίως στην Ταϊλάνδη, την Ινδία και τις ΗΠΑ. Οι εταιρείες που στοχοποιήθηκαν από το Grabit δραστηριοποιούνταν σε διάφορους τομείς, όπως: χημικά προϊόντα, νανοτεχνολογία, εκπαίδευση, γεωργική παρ, ΜΜΕ, κατασκευές κ.α.

Επίσης, η εκστρατεία έδρασε και στα Ηνωμένα Αραβικά Εμιράτα, τη , το Ισραήλ, τον Καναδά, τη Γαλλία, την Αυστρία, τη Σρι Λάνκα, τη Χιλή και το Βέλγιο.grabit

«Βλέπουμε πολλές εκστρατείες κατασκοπείας να εστιάζουν σε μεγάλες επιχειρήσεις, κρατικούς και άλλους σημαντικούς οργανισμούς. Οι μικρές και μεσαίες επιχειρήσεις σπάνια βρίσκονται μεταξύ των στόχων αυτών των επιθέσεων. Ωστόσο, το Grabit αποδεικνύει ότι στον ψηφιακό κόσμο, κάθε οργανισμός, ασχέτως αν διαθέτει κεφάλαια, σημαντικές πληροφορίες ή πολιτική επιρροή, μπορεί εν δυνάμει να τραβήξει το ενδιαφέρον κάποιου κακόβουλου φορέα.

Η εκστρατεία Grabit είναι ακόμα ενεργή, γι' αυτό είναι εξαιρετικά σημαντικό οι επιχειρήσεις να ελέγχουν τα δίκτυα τους, ώστε να παραμείνουνε ασφαλείς. Στις 15 Μαΐου, ένα απλό keylogger του Grabit βρέθηκε να έχει στην κατοχή του χιλιάδες στοιχεία σύνδεσης λογαριασμών θυμάτων από εκατοντάδες «μολυσμένα» συστήματα. Η απειλή αυτή δεν πρέπει να υποτιμηθεί», δήλωσε ο Ido Noar, Senior Security Researcher της Παγκόσμιας Ομάδας Έρευνας και Ανάλυσης της Kaspersky Lab.

Η «μόλυνση» ξεκινά όταν ένας χρήστης σε κάποια επιχείρηση λαμβάνει ένα email με ένα συνημμένο αρχείο που μοιάζει με αρχείο Word (.doc). Όταν ο χρήστης «κατεβάσει» το έγγραφο, το κατασκοπευτικό πρόγραμμα εισέρχεται στον υπολογιστή από έναν απομακρυσμένο server, ο οποίος έχει παραβιαστεί από την ομάδα Grabit, ώστε να χρησιμοποιείται ως κόμβος κακόβουλου .

Οι επιτιθέμενοι ελέγχουν τα θύματά τους, χρησιμοποιώντας το keylogger HawkEye (ένα εμπορικό εργαλείο κατασκοπείας από τη HawkEyeProducts) και μια μονάδα διαμόρφωσης που περιέχει μια σειρά Εργαλείων Απομακρυσμένης Διαχείρισης.

Σύμφωνα με τους ειδικούς της Kaspersky Lab, ενδεικτικό του μεγέθους της εκστρατείας είναι ότι ένα keylogger σε έναν μόνο από τους command-and-control serversκατάφερε να υποκλέψει 2.887 κωδικούς πρόσβαση, 1.053 μηνύματα και 3.023 ονόματα χρηστών από 4.928 διαφορετικούς hosts, εσωτερικά και εξωτερικά, ανάμεσα στους οποίους και το Outlook, το Facebook, το Skype, το GMail, το Pinterest, το Yahoo, το και το Twitter. Επίσης, κατάφερε να υποκλέψει στοιχεία τραπεζικών λογαριασμών και άλλες πληροφορίες.

Μια ετερόκλητη ομάδα ψηφιακών εγκληματιών

Η ομάδα πίσω από το Grabit δεν κάνει κάποια επιπλέον προσπάθεια, ώστε να αποκρύψει τη δραστηριότητα της, όπως γίνεται σε άλλες περιπτώσεις. Κάποια κακόβουλα δείγματα χρησιμοποιούσαν τον ίδιο host server, ακόμη και τα ίδια στοιχεία σύνδεσης, βάζοντας σε κίνδυνο την ίδια τους τη δραστηριότητα και ασφάλεια.

Από την άλλη όμως, οι επιτιθέμενοι χρησιμοποιούν ισχυρές τεχνικές άμβλυνσης για να κρατήσουν τον κώδικα τους κρυμμένο από τους αναλυτές.

Αυτό οδηγεί την Kaspersky Lab να πιστεύει ότι πίσω από τις δραστηριότητες του Grabit βρίσκεται μια ετερόκλητη ομάδα, με ορισμένα μέλη της να διαθέτουν περισσότερες τεχνικές γνώσεις από άλλα και να είναι περισσότερο συγκεντρωμένα στο να κάνουν δύσκολο τον εντοπισμό τους.

Η ανάλυση των ειδικών δείχνει ότι όποιος προγραμμάτισε το κακόβουλο δεν έγραψε όλο τον κώδικα από την αρχή.

Για την προστασία από τον Grabit, η Kaspersky Lab προτείνει στις επιχειρήσεις:

  • Να ελέγξουν τις Ρυθμίσεις Παραμέτρων Συστήματος των Windows μέσω τις διαδικασίας “msconfig”, ώστε να διασφαλίσουν ότι δεν υπάρχει το αρχείο grabit1.exe στον πίνακα εκκίνησης.
  • Να διασφαλίσουν ότι δεν ανοίγονται συνημμένα αρχεία και link από άγνωστους αποστολείς. Αν κάποιος χρήστης δεν μπορεί να ανοίξει ένα αρχείο, δεν πρέπει να το προωθήσει σε άλλους, αλλά να ζητήσει τη βοήθεια του τμήματος Πληροφορικής.
  • Να χρησιμοποιούν μια προηγμένη και ενημερωμένη anti-malware λύση, και να ακολουθούν πάντα την antivirus λίστα εργασιών για ύποπτες διαδικασίες.

Τα προϊόντα της Kaspersky Lab εντοπίζουν όλα τα γνωστά δείγματα του Grabit και προστατεύουν τους χρήστες από την απειλή αυτή.

Περισσότερες πληροφορίες σχετικά με το Grabit είναι διαθέσιμες στον ιστότοπο Securelist.com.

iGuRu.gr The Best Technology Site in Greecefgns

κάθε δημοσίευση, άμεσα στο inbox σας

Προστεθείτε στους 2.082 εγγεγραμμένους.

grabitgrabithostkasperskyKaspersky Labkeyloggerserver

Written by Δημήτρης

O Δημήτρης μισεί τις Δευτέρες.....

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *

Το μήνυμα σας δεν θα δημοσιευτεί εάν:
1. Περιέχει υβριστικά, συκοφαντικά, ρατσιστικά, προσβλητικά ή ανάρμοστα σχόλια.
2. Προκαλεί βλάβη σε ανηλίκους.
3. Παρενοχλεί την ιδιωτική ζωή και τα ατομικά και κοινωνικά δικαιώματα άλλων χρηστών.
4. Διαφημίζει προϊόντα ή υπηρεσίες ή διαδικτυακούς τόπους .
5. Περιέχει προσωπικές πληροφορίες (διεύθυνση, τηλέφωνο κλπ).