ΑρχικήsecurityStrongPity APT στοχεύει χρήστες λογισμικού κρυπτογράφησης

StrongPity APT στοχεύει χρήστες λογισμικού κρυπτογράφησης

Μια APT ομάδα με το όνομα StrongPity έχει καταβάλει πολλή προσπάθεια σε μια πρόσφατη καμπάνια, που στοχεύει τους χρήστες λογισμικού κρυπτογράφησης, όπως τα TrueCrypt και WinRAR.

Η Kaspersky Lab λέει ότι η ομάδα είναι ενεργή τα τελευταία χρόνια, αλλά κυρίως εκμεταλλεύονταν zero-days για να θέσουν σε κίνδυνο τους στόχους και κατασκόπευαν τους χρήστες και τις δραστηριότητές τους.

Οι πιο πρόσφατες επιθέσεις, που ανιχνεύθηκαν το καλοκαίρι του 2016, βασίστηκαν σε νέες τακτικές, τις οποίες η ομάδα δεν είχε χρησιμοποιήσει ποτέ στο παρελθόν.

StrongPity APT στοχεύει χρήστες λογισμικού κρυπτογράφησης

Η Kaspersky λέει ότι η ομάδα χρησιμοποίησε τις watering hole επιθέσεις και μόλυνε τους installers για να φτάσει στους υπολογιστές των χρηστών που είναι γενικά δυσκολότερο να τεθούν σε κίνδυνο επειδή χρησιμοποιούν λογισμικό κρυπτογράφησης. Πρόκειται για μια τάση κρυπτογράφησης από την πλευρά των θυμάτων στην οποία επικεντρώνονται οι επιτιθέμενοι.

Η ομάδα έχει ως στόχο δύο πακέτα λογισμικού κρυπτογράφησης σε διαφορετικές επιθέσεις. Το πρώτο είναι το WinRAR, ένα πακέτο λογισμικού γνωστό για τις δυνατότητες αρχειοθέτησής του, αλλά το οποίο έρχεται και με ένα χαρακτηριστικό που επιτρέπει στους χρήστες να κρυπτογραφήσουν τα δεδομένα τους χρησιμοποιώντας τον AES αλγόριθμο και να τα κλειδώσουν μέσα σε ένα αρχείο RAR που προστατεύεται με κωδικό.

Το δεύτερο είναι το TrueCrypt, ένα full-disk βοηθητικό πρόγραμμα κρυπτογράφησης που κλειδώνει όλα τα αρχεία σε έναν σκληρό δίσκο. Αυτό το πακέτο λογισμικού ήταν πολύ δημοφιλές πριν από δύο χρόνια, αλλά οι περισσότεροι χρήστες το εγκατέλειψαν όταν οι προγραμματιστές του είπαν ότι το λογισμικό είναι ανασφαλές και τους προέτρεψαν να χρησιμοποιούν άλλα βοηθητικά προγράμματα αντ’ αυτού.

Στοχεύοντας χρήστες αυτών των δύο πακέτων λογισμικού, η StrongPity προσπαθεί να θέσει σε κίνδυνο χρήστες που δεν θα μπορούσε να θέσει σε κίνδυνο πριν, λόγω του ότι προστάτευαν τα δεδομένα τους.

%cf%84ruecrypt

Η Kaspersky λέει ότι η StrongPity είχε εγγραφεί σε ένα παρόμοιο με το ralrab.com domain, που ήταν πολύ παρόμοιο και με την επίσημη rarlab.com ιστοσελίδα, μέσω της οποίας οι WinRAR προγραμματιστές διανέμουν το λογισμικό τους.

Χρησιμοποιώντας αυτό το ψεύτικο domain, η APT κατάφερε να ξεγελάσει τους διαχειριστές της winrar.be ιστοσελίδας να συνδεθούν με την κακόβουλη δική τους εκδοχή του WinRAR στην ralrab.com ιστοσελίδα, αντί για την επίσημη. Η δική τους WinRAR εκδοχή ερχόταν με ένα backdoor trojan, επιτρέποντας στους StrongPity δράστες να κατασκοπεύσουν όποιον εγκαταστήσει αυτό το αλλοιωμένο το πακέτο.

Έκαναν το ίδιο κόλπο και με τον δικτυακό τόπο winrar.it, αλλά αντί να τον συνδέσουν με την ralrab.com ιστοσελίδα, η ομάδα έπεισε την ιστοσελίδα winrar.it να φιλοξενήσει την κακόβουλο έκδοση των ίδιων των αρχείων.

Τα δύο αυτά περιστατικά έλαβαν χώρα το Μάιο του 2016, αλλά η ομάδα δεν σταμάτησε εδώ, και μέχρι τον Σεπτέμβριο 2016, είχαν καταφέρει να εξαπατήσουν τους διαχειριστές της Tamindir software downloads ιστοσελίδας ώστε να ανακατευθύνει τους χρήστες που ήθελαν να εγκαταστήσουν το TrueCrypt λογισμικό στην true-crypt.com ιστοσελίδα, που ελεγχόταν από τους επιτιθέμενους.

Ακριβώς όπως και με το WinRAR, η έκδοση του TrueCrypt διανέμονταν μέσω αυτής της ιστοσελίδας που περιείχε ένα backdoor trojan που επέτρεπε στους απατεώνες να έχουν πρόσβαση στο σύστημα του χρήστη και να κλέβουν ή να επεμβαίνουν στα δεδομένα.

Επειδή τα trojans αποστέλλονταν μέσα στα WinRAR και TrueCrypt πακέτα, οι επιτιθέμενοι είχαν πρόσβαση στα κρυπτογραφημένα δεδομένα, στα οποία δεν είχαν κατά τις παρελθοντικές επιθέσεις.

winrar

Σύμφωνα με την Kaspersky, οι επιθέσεις έθεσαν σε κίνδυνο χρήστες από την Ιταλία, την Τουρκία, το Βέλγιο, την Αλγερία και τη Γαλλία, αλλά ίχνη του StrongPity backdoor trojan εντοπίστηκαν σε όλη την Ευρώπη, την Αφρική και τη Μέση Ανατολή. Οι ερευνητές λένε ότι πάνω από 1.000 συστήματα φαίνεται να έχουν παραβιαστεί με πρόσφατες StrongPity επιθέσεις.

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS