Blue Termite: organizacje z Japonii na celowniku wyrafinowanej kampanii cyberszpiegowskiej

20 sierpnia, 2015

Kaspersky Lab informuje o wykryciu kampanii cyberszpiegowskiej Blue Termite, której celem od co najmniej dwóch lat były setki organizacji w Japonii. Cyberprzestępcy polują na poufne informacje, wykorzystując niezałataną lukę w oprogramowaniu Flash Player oraz wyrafinowany szkodliwy program, który jest dostosowywany do każdej ofiary. Jest to pierwsza znana Kaspersky Lab operacja cyberszpiegowska, która koncentruje się na celach w Japonii – i nadal jest aktywna.

W październiku 2014 r. badacze z Kaspersky Lab trafili na nieznaną wcześniej próbkę szkodliwego oprogramowania, która wyróżniała się spośród innych swoją złożonością. Dalsza analiza wykazała, że próbka ta stanowi jedynie niewielki element dużej i wyrafinowanej kampanii cyberszpiegowskiej – Blue Termite.

Lista atakowanych branż i instytucji obejmuje: organizacje rządowe, przemysł ciężki, branżę finansową, chemiczną, satelitarną, media, organizacje edukacyjne, branżę spożywczą, organizacje medyczne i inne. Wyniki dochodzenia wskazują, że kampania jest aktywna od około dwóch lat.

Różne techniki infekcji

Osoby stojące za kampanią Blue Termite stosują kilka technik infekowania swoich ofiar. Przed lipcem 2015 r. ugrupowanie to wykorzystywało głównie ukierunkowane e-maile phishingowe (tzw. spear-phishing), czyli wysyłanie szkodliwego oprogramowania jako załącznika do wiadomości e-mail, której treść mogła zwrócić uwagę ofiary. Jednak w lipcu cyberprzestępcy zmienili taktykę i zaczęli rozprzestrzeniać szkodliwe oprogramowanie przy użyciu szkodliwego programu wykorzystującego niezałataną lukę w aplikacji Flash Player (tego samego, który wcześniej tego lata wyciekł w wyniku incydentu związanego z organizacją Hacking Team).

Atakujący zmodyfikowali kilka japońskich stron internetowych, tak aby odwiedzające je osoby automatycznie pobrały szkodliwy kod i zostały zainfekowane. Technika ta nosi nazwę ataku drive-by-download. Odnotowano również próby profilowania ofiar. Jedna ze zmodyfikowanych stron należała do znanego członka japońskiego rządu, inna zawierała szkodliwy skrypt, który odfiltrowywał odwiedzających ze wszystkich adresów IP z wyjątkiem jednego należącego do konkretnej organizacji japońskiej. Innymi słowy, szkodliwa funkcja była dostarczana tylko wybranym użytkownikom.

Unikatowe szkodliwe oprogramowanie dla każdej ofiary i ślady językowe

Po udanej infekcji na atakowanej maszynie zostaje zainstalowany wyrafinowany trojan, który daje cyberprzestępcom kontrolę nad komputerem ofiary, a dodatkowo potrafi m.in. kraść hasła, pobierać i instalować dalsze szkodliwe programy i wykonywać polecenia atakujących.

Jednym z najbardziej interesujących aspektów dotyczących szkodliwego oprogramowania wykorzystywanego przez grupę stojącą za kampanią Blue Termite jest to, że każdej ofierze dostarczana jest unikatowa próbka szkodliwego oprogramowania, stworzona w taki sposób, by można było ją uruchomić tylko na określonym komputerze. Według badaczy z Kaspersky Lab miało to na celu utrudnienie ekspertom ds. bezpieczeństwa analizowanie i wykrywanie tego szkodnika.    

Nadal nie wiadomo, kto stoi za opisywanym atakiem. Jak zwykle w przypadku wyrafinowanych cyberataków, zidentyfikowanie osoby odpowiedzialnej jest bardzo skomplikowanym zadaniem. Jednak badacze z Kaspersky Lab zdołali zebrać kilka śladów językowych w kodzie – interfejs graficzny cyberprzestępczego serwera kontroli oraz kilka dokumentów technicznych związanych ze szkodliwym oprogramowaniem wykorzystywanym w operacji Blue Termite napisano w języku chińskim.

Po zgromadzeniu informacji potwierdzających, że Blue Termite jest kampanią cyberszpiegowską wycelowaną w organizacje japońskie, przedstawiciele Kaspersky Lab poinformowali o swoich ustaleniach lokalne organy ścigania. Operacja Blue Termite jest nadal aktywna, dlatego Kaspersky Lab wciąż prowadzi śledztwo w tej sprawie. 

„Chociaż Blue Termite nie jest jedyną kampanią cyberszpiegowską, której cele znajdują się w Japonii, jest to pierwsza znana Kaspersky Lab operacja, która koncentruje się ściśle na organizacjach z tego kraju. Incydenty związane z Blue Termite zostały nagłośnione w Japonii na początku czerwca 2015 r., kiedy miał miejsce cyberatak na Japoński Fundusz Emerytalny. Od tego czasu japońskie organizacje zaczęły stosować środki ochrony, jednak cyberprzestępcy zaczęli stosować nowe metody ataków i skutecznie rozszerzyły swój zasięg” – powiedział Suguru Ishimaru, badacz ds. bezpieczeństwa IT, Kaspersky Lab.

  • Produkty Kaspersky Lab skutecznie wykrywają i blokują szkodliwe oprogramowanie wykorzystywane w ramach kampanii cyberszpiegowskiej Blue Termite.
  • Szczegóły techniczne dotyczące kampanii cyberszpiegowskiej Blue Termite są dostępne w serwisie SecureList.pl prowadzonym przez Kaspersky Lab: http://r.kaspersky.pl/blue_termite.
  • Więcej informacji o zaawansowanych cyberzagrożeniach zawiera kronika ataków ukierunkowanych prowadzona przez Kaspersky Lab: https://apt.securelist.com/pl
  • Kaspersky Lab przygotował także film „Polując na łowców” prezentujący proces badania wyrafinowanych cyberataków ukierunkowanych: https://youtu.be/nRJEEB6GeVo

źródło: Kaspersky Lab

Czy ten artykuł był pomocny?

Oceniono: 0 razy

Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

guest
0 komentarzy
najstarszy
najnowszy oceniany
Inline Feedbacks
View all comments

Zapisz się na newsletter

Informacje o cyberbezpieczeństwie prosto na skrzynkę pocztową!

Dodatkowo otrzymasz poradnik „Jak bezpiecznie funkcjonować w cyfrowym świecie”

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]