Η Kaspersky και η Symantec με δύο ξεχωριστές δημοσιεύσεις, προειδοποιούν για την επιστροφή της περιβόητης ομάδας hacking Morpho, που είναι επίσης γνωστή και ως Wild Neutron. Η ομάδα στοχεύει ειδικά τις μεγάλες εταιρείες, κάτι που της αποφέρει υψηλά χρηματικά κέρδη.
Η ομάδα εντοπίστηκε για πρώτη φορά το 2011, και φέρεται να πραγματοποίησε πολύ σοβαρές επιθέσεις στο Twitter, το Facebook, την Apple και τη Microsoft σε σύντομο χρονικό διάστημα, χρησιμοποιώντας ένα Java zero-day exploit.
Η Morpho φαίνεται ότι είναι μια διεθνής ομάδα hacking, που επικεντρώνεται σε χτυπήματα που τους αποφέρουν οικονομικά κέρδη.
Μετά από ένα μικρό χρονικό διάστημα ηρεμίας, η Kaspersky και η Symantec, αποκάλυψαν και νέες επιθέσεις που φαίνεται ότι προέρχονται από τους ίδιους.
“Οι επιτιθέμενοι φαίνεται να υποκινούνται από οικονομικά οφέλη, χρησιμοποιώντας τις πληροφορίες για το δικό τους όφελος ή για τις πουλήσουν σε τρίτους” αναφέρει η Symantec.
“Το επίκεντρο αυτών των επιθέσεων δείχνει ότι δεν μια ομάδα που επιχορηγείται από κάποιο κράτος ή έθνος” προσθέτει η Kaspersky, η οποία στη συνέχεια αναφέρει ότι στα malware που ανέλυσε εντόπισε αγγλικά, ρωσικά και ρουμανικά.
Σε τεχνικό επίπεδο, αυτές οι νέες επιθέσεις φαίνεται να χρησιμοποιούν ένα συνδυασμό από ένα άγνωστο (zero-day) Flash Player exploit και ένα κλεμμένο πιστοποιητικό της Acer που υπογράφει τον κώδικα του κακόβουλου λογισμικού.
Αυτά επιτρέπουν στους επιτιθέμενους να αποκτήσουν πρόσβαση σε υπολογιστές, και στη συνέχεια να συλλέξουν ευαίσθητα δεδομένα ή να αναλάβουν τον πλήρη έλεγχο διαφόρων υπηρεσιών.
Για να αποκτήσει τα δεδομένα, η ομάδα Morpho χρησιμοποιεί custom OpenSSH tunnel backdoors, που προστατεύονται από ένα κωδικοποιημένο ιδιωτικό κλειδί RSA.
Οι νέες επιθέσεις εντοπίστηκαν το 2014 και το 2015, σε εταιρείες πληροφορικής, real estate, και εταιρείες επενδύσεων στις ΗΠΑ, Γαλλία, Γερμανία, Ελβετία, Ρωσία, Αυστρία, Ηνωμένα Αραβικά Εμιράτα, Σλοβενία, και Καζακστάν, όπως αναφέρει η Kaspersky. Η Symantec αναφέρει επίσης και επιθέσεις σε καναδικές εταιρείες.