Támadók folyamatosan kutatják a kiaknázható modern trendeket, és ezekhez igazítják módszereiket, hogy veszélybe sodorják a felhasználók személyes adatait és érzékeny információit világszerte. Jelen esetben a széles körben használt Telegram üzenetküldő szolgáltatás lehetséges betiltásának híre tette lehetővé, hogy támadásokat tervezzenek az Octopus trójai vírus használatával, amely később távoli hozzáférést biztosított a hekkereknek az áldozat számítógépéhez.
A támadók egy olyan archívumban terjesztették az Octopust, amelyet a Telegram üzenetküldő szolgáltatás kazah ellenzéki pártoknak szánt alternatív verziójának álcáztak. A gyorsindító a régió egyik ellenzéki politikai pártjának jól felismerhető szimbólumával volt álcázva, és ebben volt elrejtve a trójai vírus. Az aktiválást követően a trójai vírus lehetővé tette a rosszindulatú program mögött álló támadók számára, hogy különféle műveleteket végezzenek a fertőzött gépen lévő adatokkal, többek között például törölhették, blokkolhatták, módosíthatták, másolhatták vagy letölthették őket. A támadók így kémkedhettek az áldozatok után, érzékeny adatokat lophattak el, és egy hátsó kaput nyitva hozzáférhettek a rendszerekhez. A módszer mutat némi hasonlóságot a hírhedt Zoo Park elnevezésű kiberkémmel, amelynél a támadáshoz használt rosszindulatú program egy Telegram-alkalmazást imitált, és így kémkedett az áldozatok után.
A szoftverkódok hasonlóságait felismerő Kaspersky-algoritmusokat alkalmazva a biztonsági kutatók felfedezték, hogy az Octopus a DustSquadhoz köthető. A DustSquad egy orosz nyelvű kiberkém, amelyet korábban a közép-ázsiai szovjet utódállamokban, valamint 2014-ől kezdve Afganisztánban is észleltek már. Az elmúlt két évben a kutatók négy olyan támadáskampányukat leplezték le, amelyek során Android és Windows alatt futó testre szabott rosszindulatú programokkal a magánfelhasználókat és a diplomáciai szervezeteket egyaránt támadták.
„2018-ban nagyon sok olyan esetet láttunk, amikor a támadók közép-ázsiai diplomáciai testületeket vettek célba. A DustSquad már több éve működik a régióban, és elképzelhető, hogy ez a csoport áll az új fenyegetés mögött is. Az mindenesetre biztos, hogy a régió kiberügyei iránt egye nagyobb az érdeklődés. Nyomatékosan ajánljuk, hogy a régióban élő felhasználók és az ott működő szervezetek tartsák szemmel a rendszereiket, és az alkalmazottaiktól is követeljék meg ezt” – mondta Denis Legezo, a Kaspersky Lab biztonsági kutatója.
A kifinomult kibertámadások kockázatának csökkentése érdekében a Kaspersky Lab az alábbi intézkedések megtételét
Kövesd az oldalunkat a Facebook-on és a Twitteren is!
