„Kaspersky“ pasaulinė mokslinių tyrimų ir analizės grupė atrado naują šnipinėjimo įrankį, kuris buvo pastebėtas Indijos finansų įstaigose ir tyrimų centruose. „Dtrack“ šnipinėjimo programą, kaip pranešama, sukūrė „Lazarus“ grupė. Ši programa yra naudojama, kad į aukų sistemas būtų galima įkelti ir atsiųsti failus, įrašyti klavišų paspaudimus ir atlikti kitus veiksmus, kurie būdingi kenkėjiškiems nuotolinės prieigos įrankiams (RAT), rašoma pranešime spaudai.
2018 m. „Kaspersky“ tyrėjai atrado „ATMDtrack“ – kenkėjišką programą, kuri buvo sukurta, kad įsiskverbtų į Indijos bankomatus ir pavogtų klientų kortelių duomenis. Atlikę papildomą tyrimą ir naudodami „Kaspersky Attribution Engine“ bei kitas priemones, tyrėjai aptiko daugiau nei 180 naujų kenkėjiškų programų pavyzdžių, kurie turėjo kodų sekų panašumus su „ATMDtrack“, tačiau nebuvo skirti bankomatams. Šių programų funkcijų sąrašas leido jas priskirti prie šnipinėjimo įrankių – dabar žinomų kaip „Dtrack“. Be to, abi programos turėjo panašumų su 2013 m. „DarkSeoul“ kampanija, kuri buvo susieta su „Lazarus“ – liūdnai pagarsėjusiu sudėtingų grėsmių vykdytoju, kuris atsakingas už daugybę kibernetinio šnipinėjimo ir elektroninio sabotažo operacijų.
„Dtrack“ gali būti naudojamas kaip nuotolinės prieigos įrankis (RAT), suteikiantis grėsmės vykdytojams pilną užkrėsto įrenginio kontrolę. Tada nusikaltėliai gali atlikti įvairias operacijas, pavyzdžiui, įkelti ir atsiųsti failus bei vykdyti pagrindinius procesus.
Organizacijos, kuriomis susidomėjo „Dtrack“ RAT įrankį naudojantys kibernetiniai nusikaltėliai, dažnai pasižymi silpna tinklo saugumo politika. Jeigu šnipinėjimo programa įdiegiama sėkmingai, ji gali registruoti visus turimus failus, vykdomus procesus, pagrindinius prisijungimus, naršyklės istoriją ir pagrindinio kompiuterio IP adresus, įskaitant informaciją apie galimus tinklus ir aktyvius ryšius.
Naujai aptikta kenkėjiška programa yra aktyvi ir pagrįsta „Kaspersky“ telemetrija. Be to, ji vis dar naudojama naujoms kibernetinėms atakoms.
„Lazarus“ yra gana neįprasta kibernetinių nusikaltėlių grupė. Viena vertus, kaip ir daugelis kitų panašių grupių, didžiausią dėmesį jie skiria kibernetiniam šnipinėjimui ar sabotažo operacijų vykdymui. Tačiau, kita vertus, taip pat nustatyta, kad jie daro įtaką išpuoliams, kuriais aiškiai siekiama finansinės naudos. O tai yra nebūdinga tokio aukšto lygio grėsmės vykdytojui, nes paprastai kitos grupės, vykdydamos savo veiklą, neturi finansinių motyvų. Didelis „Dtrack“ pavyzdžių skaičius, kurį aptikome, rodo, kad „Lazarus“ yra viena iš aktyviausių APT grupių. Tai nuolatos besivystanti ir tobulėjanti grėsmė, kuri siekia paveikti didelio masto pramonės šakas. Sėkmingas „Dtrack“ RAT platinimas įrodo, kad net tada, kai kibernetinė grėsmė pradingsta, ją visada galima prikelti kitu pavidalu ir atakuoti naujus taikinius. Net jeigu esate tik paprastas tyrimų centras arba finansinė organizacija, veikianti tik komerciniame sektoriuje ir neturinti jokių vyriausybinių filialų, vis tiek turėtumėte apsvarstyti galimybę, kad jumis gali susidomėti aukšto lygio grėsmės vykdytojai, todėl turite atitinkamai tam pasiruošti“, – situaciją komentavo Andis Steinmanis, „Kaspersky“ vadovas Baltijos šalims.
„Kaspersky“ produktai sėkmingai aptinka ir blokuoja „Dtrack“ kenkėjiškas programas.
Norintiems apsisaugoti nuo kenkėjiškų programų, tokių kaip „Dtrack“ RAT, „Kaspersky“ rekomenduoja:
- Naudokite srauto stebėjimui skirtą programinę įrangą;
- Naudokite patikimą saugumo sprendimą, turintį elgesiu pagrįstą kenkėjiškų programų aptikimo funkciją;
- Atlikite reguliarų organizacijos IT infrastruktūros saugumo auditą;
- Praveskite reguliarius darbuotojų kibernetinės saugos mokymus.