Nu există onoare între hackeri. Cel mai ciudat atac cibernetic al ultimilor ani

de: Octavian Palade
18 04. 2015

Expertii Kaspersky Lab au descoperit un atac cibernetic rar si neobisnuit, în care un infractor cibernetic a vizat un alt infractor cibernetic.

În 2014, Hellsing, un grup de spionaj cibernetic restrâns și simplist din punct de vedere al tehnicilor utilizate, care viza în general organizații guvernamentale și diplomatice din Asia, a fost țintă a unui atac de tip spear-phishing demarat de o altă grupare de infractori cibernetici, la care a răspuns ulterior.

Acest tip de atac marchează o nouă direcție în activitățile de criminalitate cibernetică: războaiele APT (Advanced Persistent Threat).

Experții Kaspersky Lab au făcut această descoperire în timpul cercetării activităților demarate de Naikon, alt grup de spionaj cibernetic care viza tot organizații din regiunea Asia-Pacific. Una dintre țintele Naikon a descoperit tentativa de infectare a sistemului prin intermediul unui e-mail de tip spear-phishing, care conținea fișiere periculoase.

Ținta a fost reticentă cu privire la autenticitatea e-mail-ului și a răspunsului primit și nu a deschis fișierul atașat. La scurt timp după, ținta a trimis un e-mail înapoi către adresa de la care primise mesajul, cu același fișier malware atașat. 

Metoda de contra-atac indică faptul că Hellsing a vrut să identifice grupul Naikon și să colecteze informații despre acesta.

O analiză mai amănunțită a grupării Hellsing indică folosirea mai multor e-mail-uri de tip spear-phishing, create să distribuie fișiere malware în diverse organizații, pentru a le spiona. În momentul în care victima accesa fișierul, sistemul se infecta cu un backdoor care putea descărca și încărca fișiere, și care se putea actualiza și ulterior dezinstala automat. Conform descoperirilor experților Kaspersky Lab, numărul organizațiilor vizate de Hellsing până în prezent este de aproape 20.

Țintele Hellsing

Soluțiile Kaspersky Lab au detectat și au blocat malware-ul Hellsing în Malaezia, Filipine, India, Indonezia și SUA, cele mai multe victime fiind localizate în Malaezia și Filipine. Atacatorii sunt foarte selectivi în ceea ce privește tipul de organizație atacată, încercând să infecteze în principal entități guvernamentale și diplomatice.

Acest atac Hellsing împotriva grupului Naikon, ce se aseamănă cu un fel de răzbunare de tipul Războiul Stelelor – Imperiul Contraatacă, este fascinant,” a comentat Costin Raiu, Director Global Research and Analysis Team (GReAT) în cadrul Kaspersky Lab. „În trecut, am văzut și alte grupuri APT care se atacau reciproc accidental, atunci când furau adrese de contact și distribuiau e-mail-uri în masă. Însă, acum, luând în considerare ținta și originile atacului, este mai probabil că acesta este un atac de tipul APT contra APT deliberat,” a explicat Costin Raiu.

Conform analizei Kaspersky Lab, gruparea Hellsing este activă cel puțin din 2012.