Cronicile Hellsing: spion versus spion

Expertii Kaspersky Lab au descoperit un atac cibernetic rar si neobisnuit, in care un infractor cibernetic a vizat un alt infractor cibernetic. In 2014, Hellsing, un grup de spionaj cibernetic restrans si simplist din punct de vedere al tehnicilor utilizate, care viza in general organizatii guvernamentale si diplomatice din Asia, a fost tinta a unui atac de tip spear-phishing demarat de o alta grupare de infractori cibernetici, la care a raspuns ulterior. Expertii Kaspersky Lab considera ca acest tip de atac marcheaza o noua directie in activitatile de criminalitate cibernetica: razboaiele APT (Advanced Persistent Threat).

Expertii Kaspersky Lab au facut aceasta descoperire in timpul cercetarii activitatilor demarate de Naikon, alt grup de spionaj cibernetic care viza tot organizatii din regiunea Asia-Pacific. Expertii Kaspersky Lab au descoperit ca una dintre tintele Naikon a descoperit tentativa de infectare a sistemului prin intermediul unui e-mail de tip spear-phishing, care continea fisiere periculoase.

Tinta a fost reticenta cu privire la autenticitatea e-mail-ului si a raspunsului primit si nu a deschis fisierul atasat. La scurt timp dupa, tinta a trimis un e-mail inapoi catre adresa de la care primise mesajul, cu acelasi fisier malware atasat. Aceasta actiune a atras atentia expertilor Kaspersky Lab, care au pornit o cercetare ce a dus la descoperirea grupului APT Hellsing.

Metoda de contra-atac indica faptul ca Hellsing a vrut sa identifice grupul Naikon si sa colecteze informatii despre acesta.

hellsing

O analiza mai amanuntita a gruparii Hellsing indica folosirea mai multor e-mail-uri de tip spear-phishing, create sa distribuie fisiere malware in diverse organizatii, pentru a le spiona. In momentul in care victima accesa fisierul, sistemul se infecta cu un backdoor care putea descarca si incarca fisiere, si care se putea actualiza si ulterior dezinstala automat. Conform descoperirilor expertilor Kaspersky Lab, numarul organizatiilor vizate de Hellsing pana in prezent este de aproape 20.

Tintele Hellsing

Solutiile Kaspersky Lab au detectat si au blocat malware-ul Hellsing in Malaezia, Filipine, India, Indonezia si SUA, cele mai multe victime fiind localizate in Malaezia si Filipine. Atacatorii sunt foarte selectivi in ceea ce priveste tipul de organizatie atacata, incercand sa infecteze in principal entitati guvernamentale si diplomatice.

„Acest atac Hellsing impotriva grupului Naikon, ce se aseamana cu un fel de razbunare de tipul Razboiul Stelelor – Imperiul Contraataca, este fascinant,” a comentat Costin Raiu, Director Global Research and Analysis Team (GReAT) in cadrul Kaspersky Lab. „In trecut, am vazut si alte grupuri APT care se atacau reciproc accidental, atunci cand furau adrese de contact si distribuiau e-mail-uri in masa. Insa, acum, luand in considerare tinta si originile atacului, este mai probabil ca acesta este un atac de tipul APT contra APT deliberat,” a explicat Costin Raiu.

Conform analizei Kaspersky Lab, gruparea Hellsing este activa cel putin din 2012.

Expertii Kaspersky Lab recomanda utilizatorilor sa adopte urmatoarele masuri pentru a se proteja de atacurile Hellsing:

  • Sa nu acceseze fisiere periculoase primite de la utilizatori necunoscuti;
  • Sa fie atenti la arhivele protejate cu parola care contin fisiere de tip SCR sau alte fisiere executabile;
  • Daca nu sunt siguri de securitatea fisierului, sa il deschida in sandbox;
  • Sa se asigure ca folosesc un sistem de operare actualizat;
  • Sa actualizeze toate aplicatiile de tipul Microsoft Office, Java, Adobe Flash Player si Adobe Reader.

Produsele Kaspersky Lab detecteaza si blocheaza programele malware utilizate de grupul Hellsing si de grupul Naikon.

Mai multe informatii despre Hellsing si campania de spionaj cibernetic Empire Strikes Back se afla pe Securelist.com.

Administrator FaraVirusi.com
voluntar al Comodo Malware Research Team, expert Malwarebytes Anti-Malware

Leave a Reply

This site uses Akismet to reduce spam. Learn how your comment data is processed.