Potrivit rezultatelor investigatiei, derulate intre 2013 si 2016, au fost folosite versiuni diferite de malware Adwind in atacuri impotriva a cel putin 443.000 de utilizatori individuali, organizatii comerciale si non-comerciale, din toata lumea. Platforma si programul malware sunt inca active.
La finalul lui 2015, cercetatorii Kaspersky Lab au descoperit un program malware neobisnuit, in timpul unei tentative de atac cu tinta predefinita impotriva unei banci din Singapore. Un fisier malware de tip JAR era atasat la un email de phishing primit de un anume angajat al bancii. Programul este capabil sa functioneze pe platforme multiple si nu poate fi detectat de nicio solutie anti-virus, ceea ce a atras imediat atentia cercetatorilor.
Adwind RAT
S-a constatat ca organizatia fusese atacata de Adwind RAT, un malware de tip backdoor care poate fi cumparat, si este scris in intregime in Java, ceea ce il face o platforma multifunctionala. Poate sa ruleze pe sisteme de operare WIndowa, OS X, Linux si platforme Android, oferind functii de control al desktop-ului de la distanta, colectare de date, extrageri de date etc.
Daca utilizatorul vizat deschide fisierul JAR, programul malware se auto-instaleaza si incearca sa comunice cu serverul de comanda si control. Lista de functii a programului malware include posibilitatea:
• Sa inregistreze activitatea de pe tastatura
• Sa fure parole care nu se afla la vedere si sa adune date din formulare de pe Internet
• Sa faca screenshots
• Sa faca poze si sa inregistreze materiale video de pe camera
• Sa inregistreze sunete din microfon
• Sa transfere fisiere
• Sa colecteze informatii generale despre sistem si utilizator
• Sa fure chei pentru portofele criptate
• Sa aiba acces la optiunea de SMS (pentru Android)
• Sa fure certificate VPN
Chiar daca este folosit in special de atacatori care cauta oportunitati facile de castig si distribuit in campanii masive de spam, sunt si cazuri in care Adwind a fost folosit pentru atacuri cu tinta predefinita. In august 2015, numele Adwind a aparut in stirile despre un caz de spionaj cibernetic impotriva unui procuror argentinian care a fost gasit mort in ianuarie 2015. Incidentul impotriva unei banci din Singapore este un alt exemplu de atac cu tinta predefinita. O privire mai atenta asupra evenimentelor care au legatura cu folosirea Adwind RAT arata ca aceste atacuri nu au fost singurele.
Tinte de interes
In timpul investigatiei, cercetatorii Kaspersky Lab au avut ocazia sa analizeze aproape 200 de exemple de atacuri de phishing organizate de infractori necunoscuti pentru a raspandi malware-ul Adwind. De asemenea, au identificat domeniile cele mai vizate: confectii, financiar, industria constructiilor de masini, design, retail, autoritati guvernamentale, transporturi, telecom, software, educatie, industria alimentara, productie, sanatate, media, energie.
Pe baza informatiilor din Kaspersky Security Network, din cele 200 de exemple de atacuri de phishing observate in cele sase luni, din august 2015 pana in ianuarie 2016, au rezultat mostre de malware Adwind RAT intalnite de peste 68.000 de utilizatori.
Distributia geografica a utilizatorilor atacati inregistrata de KSN in aceasta perioada arata ca aproape jumatate dintre acestia (49%) locuiau in urmatoarele 10 state: Emiratele Arabe Unite, Germania, India, Statele Unite ale Americii, Italia, Rusia, Vietnam, Hong Kong, Turcia si Taiwan.
Dupa profilul tintelor identificate, in opinia cercetatorilor Kaspersky Lab, clientii platformei Adwind apartin uneia dintre urmatoarele categorii: escroci care vor sa treaca la nivelul urmator (folosind malware pentru fraude mai sofisticate), companii concurente care „joaca murdar”, mercenari cibernetici (spioni pentru „inchiriere”) si utilizatori individuali care voiau sa isi spioneze cunoscutii.
Amenintarea ca serviciu
Una dintre principalele caracteristici care diferentiaza Adwind RAT de alte programe malware comerciale este larga sa distribuire, sub forma unui serviciu platit, in cadrul caruia „clientul” plateste o suma pentru a putea folosi malware-ul. In baza unei investigatii facute asupra activitatii de pe o platforma de mesaje interne si a altor observatii, cercetatorii Kaspersky Lab estimeaza ca au existat in jur de 1.800 de utilizatori in sistem pana la sfarsitul anului 2015. Vorbim de una dintre cele mai extinse platforme de malware care exista in acest moment.
“Platforma Adwind, in forma sa actuala, reduce considerabil nivelul minim de cunostinte necesar unui potential infractor pentru a intra in zona criminalitatii cibernetice. Ceea ce putem spune, in baza investigatiilor noastre asupra atacurilor impotriva bancii din Singapore, este faptul ca infractorul din spatele sau nu era nici pe departe un hacker profesionist. Credem ca majoritatea „clientilor” platformei Adwind au acelasi nivel redus al educatiei cibernetice, ceea ce e o tendinta ingrijoratoare”, a spus Aleksandr Gostev, Chief Security Expert, Kaspersky Lab.
“In ciuda multiplelor rapoarte privind diferitele generatii ale acestui instrument, publicate in ultimii ani de furnizorii de solutii de securitate, platforma este inca activa si este utilizata de tot felul de infractori. Am realizat aceasta cercetare pentru a atrage atentia comunitatii cibernetice si a organelor de aplicare a legii si pentru a face primii pasi in vederea inchiderii definitive a acestei platforme”, a comentat Vitaly Kamluk, Director of Global Research & Analysis Team in APAC, Kaspersky Lab.
Compania Kaspersky Lab a raportat rezultatele cercetarii asupra paltformei Adwind catre organele de aplicare a legii.
Pentru a se proteja la nivel individual si organizatia din care fac parte, Kaspersky Lab recomanda companiilor sa revizuiasca modul in care folosesc platforma Java si sa o dezactiveze pentru toate sursele neautorizate.
Aflati mai multe despre platofrma Adwind Malware-ca-Serviciu pe Securelist.com.
Aflati cum sunt investigate atacurile complexe in video-ul următor
Mai multe informații despre operațiunile de spionaj cibernetic aici