PLATINUM a revenit – grupul foloseste steganografia pentru a nu fi detectat

 

Cercetatorii Kaspersky au descoperit o campanie complexa de spionaj cibernetic, menita sa fure informatii de la entitati diplomatice, guvernamentale si militare din Asia de Sud. Campania a durat aproape sase ani si a avut legaturi cu alte atacuri recente din regiune. O investigatie mai ampla asupra instrumentelor si metodelor folosite in campanie i-a condus pe cercetatori la concluzia ca atacatorul este grupul PLATINUM – un atacator de spionaj cibernetic pe care il crezusera disparut. Pentru ca activitatea sa sa ramana neobservata o perioada atat de lunga, grupul a codat informatiile folosind o tehnica denumita steganografie, care ascunde faptul ca ar fi transmisa vreo informatie.

Cercetatorii in domeniul securitatii au avertizat mai de mult in legatura cu pericolele steganografiei. Steganografia este practica de a transfera date intr-un format ascuns, astfel incat nici sa nu fie banuita existenta acestor date. Astfel, difera de criptografie, care ascunde datele. Folosind steganografia, autorii campaniilor de spionaj cibernetic pot ramane vreme indelungata intr-un sistem infectat, fara sa trezeasca suspiciuni. Aceasta metoda a fost folosita de grupul PLATINUM, o actiune colectiva impotriva guvernelor si a organizatiilor care au legatura cu acestea, din Asia de Sud si Sud-Est. Ultima activitate cunoscuta a grupului fusese detectata in 2017.

In cazul operatiunii PLATINUM, recent descoperite, comenzile malware erau incluse in codul HTML al unui site. Tastele „tab” si „spatiu” nu schimba modul in care codul HTML este reflectat pe o pagina web, astfel incat autorii au codat comenzile intr-o secventa specifica a acestor doua taste. Prin urmare, comenzile erau aproape imposibil de detectat in traficul retelei, pentru ca malware-ului de-abia aparea, ca sa acceseze un site care nu era suspect si nu era detectabil in traficul general.

Pentru a detecta malware-ul, cercetatorii au trebuit sa verifice programele capabile sa incarce fisiere pe dispozitiv. Dintre ele, expertii au observat unul care se comporta ciudat – de exemplu, accesa serviciul cloud public Dropbox pentru administrare si era programat sa functioneze doar in anumite momente. Cercetatorii si-au dat seama ulterior ca acest lucru se intampla pentru a ascunde activitatea malware printre procesele care functioneaza in timpul orelor de munca, atunci cand comportamentul sau nu ar trezi suspiciuni. De fapt, downloader-ul extragea si incarca date si fisiere pe si de pe dispozitivul infectat.

Campaniile cunoscute ale grupului PLATINUM au fost elaborate si realizate atent. Malware-ul folosit in acest caz nu face exceptie – in afara de steganografie, avea alte caracteristici care ii permite sa functioneze in secret o perioada indelungata. De exemplu, putea sa transfere comenzile nu doar din centrul de comanda, ci si de pe un dispozitiv infectat pe altul. Astfel, puteau ajunge pe dispozitive care erau parte din aceeasi infrastructura cu cele atacate, dar care nu erau conectate la Internet. In concluzie, implementarea steganografiei de catre grupuri ca PLATINUM este un semn ca amenintarile avansate si persistente isi cresc semnificativ complexitatea metodelor pentru a ramane nedetectate, iar companiile de securitate ar trebui sa fie constiente de acest lucru atunci cand isi dezvolta solutiile de securitate”, spune Alexey Shulmin, security researcher la Kaspersky.

Pentru a reduce riscul de a cadea victima unor operatii complexe de spionaj cibernetic:

  • Introduceti training-uri de constientizare privind securitatea cibernetica pentru angajati, care sa ii  invete cum sa recunoasca si sa evite aplicatii sau fisiere potential periculoase. De exemplu, angajatii nu ar trebui sa descarce si sa instaleze aplicatii sau programe din surse necunoscute sau care nu prezinta incredere.
  • Pentru detectia la nivel endpoint, investigatia si remedierea rapida a incidentelor, implementati solutii EDR (Endpoint Detection and Response).
  • Dati-i echipei SOC acces la cele mai recente rapoarte despre amenintari, pentru a fi la curent cu cele mai noi instrumente, tehnici si tactici ale atacatorilor.
  • Pe langa adoptarea unei protectii endpoint de baza, folositi o solutie de securitate pentru companii, care detecteaza amenintarile avansate intr-un stadiu incipient – de tipul Kaspersky Anti Targeted Attack Platform.

Pe Securelist.com puteti citi raportul complet.

Despre Kaspersky

Kaspersky este o companie globala de securitate cibernetica, fondata in 1997. Informatiile vaste despre amenintarile cibernetice si experienta in securitate IT detinute de Kaspersky se materializeaza in mod constant in solutii de securitate si servicii de ultima generatie pentru a proteja companiile, infrastructura critica, autoritatile guvernamentale si utilizatorii individuali din toata lumea. Portofoliul companiei include protectie endpoint de top si mai multe solutii specializate de securitate si servicii, pentru a combate amenintarile digitale tot mai complexe. Peste 400 de milioane de utilizatori individuali sunt protejati de tehnologiile Kaspersky, precum si 270.000 de companii client, pe care le ajutam sa protejeze ce e mai important pentru ele. Pentru mai multe informatii, vizitati www.kaspersky.ro.

Leave a Reply

Your email address will not be published. Required fields are marked *