Перейти к основному разделу

Новый виток кибершпионажа: «Лаборатория Касперского» обнаружила атаку на госведомства США

22 апреля 2015 г.

«Лаборатория Касперского» опубликовала отчет о новой кампании кибершпионажа, получившей название CozyDuke. Основными целями атакующих стали организации и государственные ведомства США, среди них, вероятно, Белый дом и Госдепартамент.

Новый виток кибершпионажа: «Лаборатория Касперского» обнаружила атаку на госведомства США

«Лаборатория Касперского» опубликовала отчет о новой кампании кибершпионажа, получившей название CozyDuke. Основными целями злоумышленников стали организации и государственные ведомства США, среди них, вероятно, Белый дом и Госдепартамент. Атаке также подверглись государственные и коммерческие организации в Германии, Южной Кореи и Узбекистане.

Помимо наличия таких высокопоставленных целей, операция также интересна с технической точки зрения. CozyDuke обладает возможностями шифрования и антидетектирования – другими словами, вредоносный код «изучает» ряд защитных продуктов, в частности «Лаборатории Касперского», Sophos, DrWeb, Avira, Crystal и Comodo Dragon, для того, чтобы избежать своего распознавания ими. Злоумышленники используют сильные с точки зрения функций вредоносные программы.

Структура и набор применяемых инструментов позволяют предположить связь кампании с такими нашумевшими операциями кибершпионажа, как MiniDuke, CosmicDuke и OnionDuke, за которыми, по всей вероятности, стоят русскоязычные создатели. При этом наблюдения специалистов «Лаборатории Касперского» свидетельствуют об продолжающейся активности MiniDuke и CosmicDuke, нацеленной на дипломатические организации и посольства, компании энергетической отрасли, телекоммуникационных операторов, военный сектор и исследовательские институты в ряде стран.

В рамках CozyDuke атакующие используют приемы целенаправленного фишинга: они рассылают электронные сообщения с ссылкой на взломанный сайт (иногда принадлежащий официальным ведомствам, например, diplomacy.pl), на котором содержится ZIP-архив с вредоносным ПО. Также атакующие могут отправлять в качестве вложений к письмам мошеннические флеш-видео, содержащие исполняемый вредоносный код.

В CozyDuke также используется «бэкдор» и программа-загрузчик. Она отправляет информацию о заражённом компьютере командному серверу, получая в ответ конфигурационные файлы и дополнительные вредоносные модули.

«Мы следили за MiniDuke и CosmicDuke в течение нескольких лет. «Лаборатория Касперского» первой предупредила об этих атаках в 2013 году, при этом самые «старые» образцы из найденных датируются 2008 годом. CozyDuke определённо связан с обеими кампаниями, а также с кибероперацией OnionDuke. Их авторы продолжают следить за своими жертвами, а используемые инструменты, мы полагаем, созданы русскоговорящими злоумышленниками», – отметил Курт Баумгартнер, ведущий антивирусный эксперт «Лаборатории Касперского».

Продукты «Лаборатории Касперского» детектируют все известные образцы вредоносного ПО, используемого в операции CozyDuke, и защищают пользователей от этой угрозы.

Советы пользователям:

  • Не открывайте вложения и не проходите по ссылкам, полученным от неизвестных контактов
  • Пользуйтесь проверенным решением для защиты компьютера от вредоносного ПО
  • Проявляйте особую бдительность в отношении ZIP-архивов, содержащих файлы с расширением .SFX
  • Удостоверьтесь, что ваша ОС имеет актуальную версию, и в ней применены все свежие обновления
  • Обновите все используемые программные пакеты, такие как Microsoft Office, Java, Adobe Flash Player и Adobe Reader

С более детальным описанием кампании и применяемом в её рамках вредоносном ПО можно ознакомиться на сайте securelist.com.

Новый виток кибершпионажа: «Лаборатория Касперского» обнаружила атаку на госведомства США

«Лаборатория Касперского» опубликовала отчет о новой кампании кибершпионажа, получившей название CozyDuke. Основными целями атакующих стали организации и государственные ведомства США, среди них, вероятно, Белый дом и Госдепартамент.
Kaspersky logo

О «Лаборатории Касперского»

«Лаборатория Касперского» — международная компания, работающая в сфере информационной безопасности и цифровой приватности с 1997 года. На сегодняшний день компания защитила более 1 миллиарда устройств от массовых киберугроз и целенаправленных атак, а накопленные ей знания и опыт последовательно трансформируются в инновационные решения и услуги для защиты бизнеса, критически важной инфраструктуры, государственных органов и рядовых пользователей по всему миру. Обширное портфолио «Лаборатории Касперского» включает в себя передовые технологии для защиты конечных устройств, ряд специализированных продуктов и сервисов, а также кибериммунные решения для борьбы со сложными и постоянно эволюционирующими киберугрозами. Мы помогаем 200 тысячам корпоративных клиентов во всём мире защищать самое ценное для них. Подробнее на www.kaspersky.ru.

Похожие статьи Пресс-релизы