Poza instalacją fałszywych certyfikatów cyfrowych szkodnik ten umożliwia cyberprzestępcom szpiegowanie aktywności użytkowników na stronach WWW.
Chociaż litera „S” w „HTTPS” oznacza „Secure” (bezpieczny), sugerując, że informacje wymieniane pomiędzy przeglądarką a stroną internetową nie są dostępne osobom trzecim, ugrupowanie hakerskie dysponujące odpowiednimi umiejętnościami potrafi znaleźć wiele sposobów pozwalających ingerować w ten proces. Taką ingerencję umożliwia Reductor, który został wykorzystany do szpiegowania placówek dyplomatycznych w krajach Wspólnoty Niepodległych Państw. Co więcej, wykryte moduły posiadały funkcje zdalnej administracji, a możliwości tego szkodnika były niemalże nieograniczone.
Osoby rozprzestrzeniające oprogramowanie Reductor wykorzystywały dwa główne wektory ataków, z których jeden obejmował pobieranie modułów za pośrednictwem szkodliwego oprogramowania COMPfun, które wcześniej przypisywane było rosyjskojęzycznemu cybergangowi o nazwie Turla. Drugi wektor okazał się bardziej wyrafinowany: najwyraźniej cyberprzestępcy znaleźli sposób na modyfikowanie w czasie rzeczywistym oprogramowania pobieranego ze stron internetowych na komputer ofiary. Instalatory oprogramowania były pobierane ze stron oferujących bezpłatnie aplikacje, za które w legalnej dystrybucji trzeba zapłacić (tzw. warezy). Chociaż dostępne na tych stronach instalatory nie były pierwotnie zainfekowane, po znalezieniu się na komputerach ofiar zawierały szkodnika. Badacze z firmy Kaspersky doszli do wniosku, że do podmiany dochodzi w locie, a osoby stojące za Reductorem posiadają pewną kontrolę nad kanałem sieciowym swoich celów.
Po przedostaniu się na urządzenie ofiary Reductor manipuluje zainstalowanymi certyfikatami cyfrowymi, modyfikując generatory liczb pseudolosowych przeglądarek wykorzystywane do szyfrowania ruchu przepływającego od użytkownika do stron HTTPS. W celu identyfikacji ofiar, których ruch ma być przechwytywany, cyberprzestępcy dodają dla każdej z nich unikatowe identyfikatory oparte na sprzęcie oraz oprogramowaniu, oznaczając je przy pomocy określonych liczb w generatorze już nie tak losowych liczb. Po zmodyfikowaniu przeglądarki na zainfekowanym urządzeniu cyberprzestępcy otrzymują informacje na temat działań wykonywanych w takiej przeglądarce, podczas gdy ofiara niczego nie podejrzewa.
Nigdy wcześniej nie spotkaliśmy się z tym, aby twórcy szkodliwego oprogramowania majstrowali w ten sposób z szyfrowaniem przeglądarki – powiedział Kurt Baumgartner, badacz ds. cyberbezpieczeństwa z firmy Kaspersky. Jest to działanie dość wyrafinowane i pozwoliło atakującym pozostawać przez długi czas poza radarem. Poziom zaawansowania metody ataku sugeruje, że twórcy szkodnika Reductor to profesjonaliści – co jest dość powszechne wśród ugrupowań wspieranych przez rządy. Nie zdołaliśmy jednak znaleźć przekonujących tropów technicznych, które mogłyby pomóc powiązać to szkodliwe oprogramowanie ze znanym cybergangiem. Zalecamy wszystkim organizacjom mającym do czynienia z wrażliwymi danymi, aby zachowały czujność i regularnie przeprowadzały dokładne kontrole bezpieczeństwa.
Produkty firmy Kaspersky skutecznie wykrywają i blokują szkodliwe oprogramowanie Reductor.
Porady bezpieczeństwa
Eksperci z firmy Kaspersky zalecają wykonanie następujących działań pozwalających uniknąć zagrożenia ze strony oprogramowania Reductor:
- Przeprowadzaj regularny audyt bezpieczeństwa infrastruktury IT organizacji.
- Stosuj sprawdzone rozwiązania zabezpieczające wyposażone w ochronę przed zagrożeniami sieciowymi, np. Kaspersky Endpoint Security for Business, co pozwala zidentyfikować i zablokować zagrożenia próbujące wykorzystać zaszyfrowane kanały w celu ukradkowego przeniknięcia do systemu.
- Oprócz niezbędnej ochrony punktów końcowych wdróż rozwiązanie zabezpieczające klasy korporacyjnej, takie jak Kaspersky Anti Targeted Attack Platform, które wykrywa zaawansowane zagrożenia na poziomie sieci na wczesnym etapie.
- Zapewnij swojemu zespołowi z centrum operacji bezpieczeństwa dostęp do najnowszej analizy zagrożeń, aby był na bieżąco ze wszystkimi nowymi narzędziami, technikami oraz taktykami stosowanymi przez cyberprzestępców.
- Wprowadź szkolenia w zakresie zwiększenia świadomości związanej z bezpieczeństwem dla personelu, aby wiedział, jakie ryzyko wiąże się z nielegalnym oprogramowaniem oraz jak je rozpoznać.
Informacje techniczne dotyczące szkodliwego programu Reductor są dostępne na stronie https://r.kaspersky.pl/l2aF2.
Informację można wykorzystać dowolnie z zastrzeżeniem podania firmy Kaspersky jako źródła.
Wszystkie informacje prasowe są dostępne na stronie https://www.kaspersky.pl/nowosci.