Echipa de cercetare a Kaspersky Lab, GReAT (Global Research and Analysis Team) a publicat o amplă cercetare despre Adwind Remote Aceess Tool (RAT), un program malware funcțional pe mai multe platforme, denumit și AlienSpy, Frutas, Unrecom. Sockrat, JSocket și JRat. Acesta este distribuit pe o singurâ platformă de tip malware ca serviciu (malware-as-a-service). Potrivit rezultatelor investigației, derulate între 2013 și 2016, au fost folosite versiuni diferite de malware Adwind în atacuri împotriva a cel puțin 443.000 de utilizatori individuali, organizații comerciale și non-comerciale, din toată lumea. Platforma și programul malware sunt încă active.
La finalul lui 2015, cercetătorii Kaspersky Lab au descoperit un program malware neobișnuit, în timpul unei tentative de atac cu țintă predefinită împotriva unei bănci din Singapore. Un fișier malware de tip JAR era atașat la un email de phishing primit de un anume angajat al băncii. Programul este capabil să funcționeze pe platforme multiple și nu poate fi detectat de nicio soluție anti-virus, ceea ce a atras imediat atenția cercetătorilor.
Adwind RAT
S-a constatat că organizația fusese atacată de Adwind RAT, un malware de tip backdoor care poate fi cumpărat, și este scris în întregime în Java, ceea ce îl face o platformă multifuncțională. Poate să ruleze pe sisteme de operare WIndowa, OS X, Linux și platforme Android, oferind funcții de control al desktop-ului de la distanță, colectare de date, extrageri de date etc.
Dacă utilizatorul vizat deschide fișierul JAR, programul malware se auto-instalează și încearcă să comunice cu serverul de comandă și control. Lista de funcții a programului malware include posibilitatea:
- Să înregistreze activitatea de pe tastatură
- Să fure parole care nu se află la vedere și să adune date din formulare de pe Internet
- Să facă screenshots
- Să facă poze și să înregistreze materiale video de pe cameră
- Să înregistreze sunete din microfon
- Să transfere fișiere
- Să colecteze informații generale despre sistem și utilizator
- Să fure chei pentru portofele criptate
- Să aibă acces la opțiunea de SMS (pentru Android)
- Să fure certificate VPN
Chiar dacă este folosit în special de atacatori care caută oportunități facile de câștig și distribuit în campanii masive de spam, sunt și cazuri în care Adwind a fost folosit pentru atacuri cu țintă predefinită. În august 2015, numele Adwind a apărut în știrile despre un caz de spionaj cibernetic împotriva unui procuror argentinian care a fost găsit mort în ianuarie 2015. Incidentul împotriva unei bănci din Singapore este un alt exemplu de atac cu țintă predefinită. O privire mai atentă asupra evenimentelor care au legătură cu folosirea Adwind RAT arată că aceste atacuri nu au fost singurele.
Ținte de interes
În timpul investigației, cercetătorii Kaspersky Lab au avut ocazia să analizeze aproape 200 de exemple de atacuri de phishing organizate de infractori necunoscuți pentru a răspândi malware-ul Adwind. De asemenea, au identificat domeniile cele mai vizate: confecții, financiar, industria construcțiilor de mașini, design, retail, autorități guvernamentale, transporturi, telecom, software, educație, industria alimentară, producție, sănătate, media, energie.
Pe baza informațiilor din Kaspersky Security Network, din cele 200 de exemple de atacuri de phishing observate în cele șase luni, din august 2015 până în ianuarie 2016, au rezultat mostre de malware Adwind RAT întâlnite de peste 68.000 de utilizatori.
Distribuția geografică a utilizatorilor atacați înregistrată de KSN în această perioadă arată că aproape jumătate dintre aceștia (49%) locuiau în următoarele 10 state: Emiratele Arabe Unite, Germania, India, Statele Unite ale Americii, Italia, Rusia, Vietnam, Hong Kong, Turcia și Taiwan.
După profilul țintelor identificate, în opinia cercetătorilor Kaspersky Lab, clienții platformei Adwind aparțin uneia dintre următoarele categorii: escroci care vor să treacă la nivelul următor (folosind malware pentru fraude mai sofisticate), companii concurente care „joacă murdar”, mercenari cibernetici (spioni pentru „închiriere”) și utilizatori individuali care voiau să își spioneze cunoscuții.
Amenințarea ca serviciu
Una dintre principalele caracteristici care diferențiază Adwind RAT de alte programe malware comerciale este larga sa distribuire, sub forma unui serviciu plătit, în cadrul căruia „clientul” plătește o sumă pentru a putea folosi malware-ul. În baza unei investigații făcute asupra activității de pe o platformă de mesaje interne și a altor observații, cercetătorii Kaspersky Lab estimează că au existat în jur de 1.800 de utilizatori în sistem până la sfârșitul anului 2015. Vorbim de una dintre cele mai extinse platforme de malware care există în acest moment.
“Platforma Adwind, în forma sa actuală, reduce considerabil nivelul minim de cunoștințe necesar unui potențial infractor pentru a intra în zona criminalității cibernetice. Ceea ce putem spune, în baza investigațiilor noastre asupra atacurilor împotriva băncii din Singapore, este faptul că infractorul din spatele său nu era nici pe departe un hacker profesionist. Credem că majoritatea „clienților” platformei Adwind au același nivel redus al educației cibernetice, ceea ce e o tendință îngrijorătoare”, a spus Aleksandr Gostev, Chief Security Expert, Kaspersky Lab.
“În ciuda multiplelor rapoarte ,privind diferitele generații ale acestui instrument publicate în ultimii ani de furnizorii de soluții de securitate, platforma este încă activă și este utilizată de tot felul de infractori. Am realizat această cercetare pentru a atrage atenția comunității cibernetice și a organelor de aplicare a legii și pentru a face primii pași în vederea închiderii definitive a acestei platforme”, a comentat Vitaly Kamluk, Director of Global Research & Analysis Team in APAC, Kaspersky Lab.
Compania Kaspersky Lab a raportat rezultatele cercetării asupra paltformei Adwind către organele de aplicare a legii.
Pentru a se proteja la nivel individual și organizația din care fac parte, Kaspersky Lab recomandă companiilor să revizuiască modul în care folosesc platforma Java și să o dezactiveze pentru toate sursele neautorizate.
Aflați mai multe despre platofrma Adwind Malware-ca-Serviciu pe Securelist.com.
Aflați cum sunt investigate atacurile complexe în video-ul următor: http://www.youtube.com/watch?v=FzPYGRO9LsA.
Mai multe informații despre operațiunile de spionaj cibernetic aici: https://apt.securelist.com.