Rușii atacă Casa Albă. CozyDuke, o nouă campanie de spionaj cibernetic

Echipa Global Research and Analysis Team din cadrul Kaspersky Lab a publicat un raport cu informații despre o nouă campanie de spionaj cibernetic, numită CozyDuke, care utilizează malware pentru atacuri împotriva unor entități la nivel înalt.

Printre țintele CozyDuke se numără Casa Albă și Departamentul de Stat al SUA. Lista țintelor include, de asemenea, mai multe organizații guvernamentale și comerciale din Germania, Coreea de Sud și Uzbekistan. 

Pentru efectuarea acestor atacuri foarte precise împotriva unor ținte la nivel înalt, atacatorii utilizează instrumente adiționale foarte complexe de criptare și anti-detecție. Astfel, programul malware utilizat caută automat anumite soluții de securitate instalate pe dispozitivele vizate, cu scopul de a le evita. Printre acestea se numără soluțiile de securitate Kaspersky Lab, Sophos, DrWeb, Avira, Crystal și Comodo Dragon.

Experții Kaspersky Lab au descoperit funcții ale programului malware și structuri similare cu cele utilizate în cadrul campaniilor de spionaj MiniDuke, CosmicDuke și OnionDuke; operațiuni care, conform mai multor indicatori, au fost administrate de vorbitori de limbă rusă. Informațiile descoperite de experții Kaspersky Lab arată că operațiunile MiniDuke și CosmicDuke sunt în continuare active și țintesc organizații diplomatice, ambasade, companii din industria energetică, petrolieră și a gazelor, telecom, din sectorul militar și instituții academice și de cercetare din mai multe țări.

Țintele vizate de CozyDuke sunt atacate prin intermediul unor mesaje e-mail de tip spearphishing, care conțin link-uri către un website infectat – un site legitim foarte important, de tipul „diplomacy.pl” – care găzduiește arhive ZIP cu malware. O altă tehnică folosită în atacurile CozyDuke și de succes, în general, în multe atacuri cu țintă predefinită este ingineria socială. Astfel, atacatorii distribuie prin intermediul e-mail-ului videoclipuri de tip flash, care includ executabile periculoase atașate.

În timp ce angajatul organizaței atacate vizionează videoclipul, malware-ul se instalează discret în sistem și trimite informații confidențiale despre țintă către un server de comandă și control. Totodată, primește fișiere de configurare și module adiționale care implementează funcționalități suplimentare necesare atacatorilor.

„Monitorizăm campaniile MiniDuke și CosmicDuke, deja, de doi ani,” a declarat Kurt Baumgartner, Principal Security Researcher în cadrul echipei Global Research And Analysis Team, Kaspersky Lab. „Experții Kaspersky Lab au fost primii care au avertizat utilizatorii cu privire la atacurile MiniDuke în 2013, descoperind mostre de malware care datau încă din 2008. Campania CozyDuke este legată de cele două campanii, precum și de operațiunea de spionaj cibernetic OnionDuke. Fiecare actor continuă să-și urmărească victimele și credem că instrumentele lor de spionaj sunt dezvoltate și administrate de vorbitori de limbă rusă,” a explicat Kurt Baumgartner.