Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Złamanie najsłabszego ogniwa w najmocniejszym łańcuchu

Ido Naor
Dodany 22 lutego 2017, 10:42 CET
Tagi:

Około lipca zeszłego roku ponad 100 żołnierzy izra elskich zostało zaatakowanych przez przebiegłych cyberprzestępców. Podczas ataku włamano się do ich urządzeń, a następnie przesłano wyłuskane dane do serwera kontroli cyberprzestępców. Ponadto, na zaatakowane urządzenia pobrano aktualizacje trojana, które pozwoliły osobom atakującym rozszerzyć swoje możliwości. Operacja ta nadal była aktywna w momencie tworzenia tego postu, a ataki zgłaszano jeszcze w lutym 2017 roku.  

Celem tej kampanii, która według ekspertów, nadal znajduje się na początkowym etapie, są urządzenia z systemem Android OS. Po zainfekowaniu urządzenia rozpoczyna się proces wyrafinowanego gromadzenia danych poprzez uzyskanie dostępu do możliwości audio i wideo telefonu, funkcji SMS i lokalizacji. 

Kampania opiera się w dużym stopniu na socjotechnice, wykorzystując portale społecznościowe w celu nakłonienia żołnierzy do ujawnienia...



Przechwytując ruch z wielu zainfekowanych maszyn, które wskazywały na obecność szkodliwego oprogramowania Remote Admin Tool o nazwie HawkEye, trafiliśmy na interesującą domenę. Została zarejestrowana na serwerze kontroli (C2), na którym przechowywane były skradzione dane przechwycone przez keyloggera ofiar HawkEye, ale była również wykorzystywana jako „jedno okienko” umożliwiające zakup zhakowanych „towarów”.       

Białe kapelusze na polowaniu?

Zanim zagłębimy się w analizie serwera, warto wskazać interesujące zachowanie zauważone na kilku skradzionych kontach ofiar. Ustaliliśmy, że „pomocna” grupa hakerów (WhiteHat), która występuje pod nazwą Group Demóstenes, pracowała bez ustanku, przeszukując internet i próbując „wyłuskać” skradzione dane z serwerów C2. Po znalezieniu takiego serwera ugrupowanie szukało backdoora, który zapewniłby mu kontrolę nad systemem plików. Następnie monitorowało przychodzące,...



14 listopada 2014 roku badacze bezpieczeństwa z Kaspersky Lab ostrzegli LinkedIn, największy na świecie portal społecznościowy zorientowany na kontakty zawodowe, o problemie dotyczącym bezpieczeńst...