Hakerzy z Sednit zaatakowali ambasady

Hakerska grupa Sednit zaatakowała niedawno ambasady, ministerstwa spraw zagranicznych i placówki dyplomatyczne zlokalizowane aż w 18 krajów zlokalizowanych na wszystkich kontynentach. Nie ma wśród nich co prawda Polski, ale ponieważ w przeszłości hakerzy ci zaatakowali polską instytucję finansową, należy i tym razem zachować czujność.

Grupa Sednit, znana również jako APT28, Fancy Bear, Sofacy lub STRONTIUM, swoją działalność rozpoczęła 10 lat temu. Badacze cyberbezpieczeństwa z ESET opisali nowy zestaw zagrożeń grupy Sednit - Zebrocy, który do tej pory zaatakował komputery dyplomatów z Azerbejdżanu, Bośni i Hercegowiny, Egiptu, Gruzji, Iranu, Kazachstanu, Korei, Kirgistanu, Rosji, Arabii Saudyjskiej, Serbii, Szwajcarii, Tadżykistanu, Turcji, Turkmenistanu, Ukrainy, Urugwaju i Zimbabwe.

Jak tłumaczy Kamil Sadkowski, analityk zagrożeń ESET, rodzina szkodliwego oprogramowania o nazwie Zebrocy aktywuje się w momencie otworzenia załącznika z wiadomości e-mail - dokumentu Microsoft Office lub pliku spakowanego do archiwum. Zebrocy składa się z trzech komponentów. Pierwszy z modułów, zaraz po uruchomieniu, odpowiada za zebranie informacji o systemie operacyjnym ofiary. Następnie przesyła je do serwera cyberprzestępców, który opóźnia swoją odpowiedź do kilku godzin, zanim wirus dopuści do kolejnej fazy infekcji.

Zobacz również:

  • IDC CIO Summit – potencjał drzemiący w algorytmach
  • Grupa Medusa zwiększa aktywność ransomware
  • Hakerzy wykradli dane należące do użytkowników znanej aplikacji CCleaner

Drugi moduł sprawdza między innymi, czy został uruchomiony w środowisku wirtualnym. Jeśli tak, kończy swoje działanie. Jeśli nie, sprawdza listę uruchomionych programów, wersję systemu operacyjnego, robi zrzuty ekranu oraz pobiera z sieci kolejny złośliwy kod. Ten ostatni komponent jest odpowiedzialny za wykonanie rozkazów cyberprzestępców oraz za przeprowadzenie finalnej infekcji gromadzącej maksymalną ilość informacji o ofiarach ataku.

Kamil Sadkowski przypomina, że w 2014 roku hakerzy przeprowadzili atak, wykorzystując do jego realizacji stronę internetową polskiej instytucji finansowej. Do kodu źródłowego tej strony został wówczas wstrzyknięty specjalny kod, który powodował przekierowanie do złośliwej witryny. Następnie zagrożenie próbowało wykorzystać lukę CVE-2014-1776 w przeglądarce internetowej Internet Explorer, by zainfekować dany komputer.

Jak wskazują eksperci z ESET, zagrożenia dystrybuowane przez grupę Sednit są nadal aktywne. Aby zabezpieczyć się przed tego typu atakami, należy aktualizować oprogramowanie w celu załatania podatności, zachować ostrożność podczas otwierania nieznanych załączników, a także wyposażyć swój komputer w oprogramowanie antywirusowe, które chroni przed wirusami i innymi zagrożeniami komputerowymi.

Źródła: ESET, DAGMA

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200