Kas vagia „Facebook“, „Skype“, „Gmail“ ir „Outlook“: „Kaspersky Lab“ atskleidžia naują kibernetinę kampaniją

„Kaspersky Lab“ specialistai aptiko naują į smulkaus ir vidutinio verslo bendroves nutaikytą kibernetinio šnipinėjimo kampaniją „Grabit“, kurios metu buvo pavogti tūkstančiai nedidelių organizacijų darbuotojų, daugiausia gyvenančių Tailande, Indijoje ir JAV, vartotojų įvairių paslaugų paskyrų. Kibernetinės operacijos „Grabit“ pėdsakų aptikta ir JAE, Vokietijoje, Izraelyje, Kanadoje, Prancūzijoje, Austrijoje, Šri Lankoje, Čilėje ir Belgijoje.

grabit

Užkrečiama siunčiant pranešimus su pridedamu failu, atrodančiu kaip „Microsoft Office Word“ dokumentas. Jį atidaręs vartotojas parsisiunčia šnipinėjimo programą iš sukčių įlaužto serverio kenkėjiškoms programoms platinti. Kibernetiniai nusikaltėliai kontroliuoja aukų veiksmus taikydami klavišų blokavimo funkciją „HawkEye“ – tai komercinė paslauga sekti grupės „HawkEyeProducts“ autorystę, taip pat konfigūracijos modulį, turintį daugybę nuotolinio valdymo instrumentų.

„Mes stebime daugybę kibernetinio šnipinėjimo kampanijų, nukreiptų į korporacijas, valstybines struktūras ir kitas dideles organizacijas. „Grabit“ akivaizdžiai demonstruoja, kad medžiojamas ne tik stambus laimikis – skaitmeniniame pasaulyje bet kokia bendrovė gali būti įdomi vienai ar kitai kibernetinių nusikaltėlių grupuotei. Kampanija „Grabit“ vis dar aktyvi, todėl verslo savininkams labai svarbu patikrinti savo tinklo kompiuterius dėl jos pėdsakų. Šioje kampanijoje taikoma klavišų blokavimo funkcija sukaupė tūkstančius prieigos rekvizitų iš šimtų užkrėstų sistemų – tokio lygio grėsmės negalima neigti“, – sako Ido Naor, „Kaspersky Lab“ antivirusų ekspertas.

Kibernetinės operacijos „Grabit“ mastą iliustruoja „Kaspersky Lab“ surinkta statistika: iš viso viename sukčių valdomame serveryje buvo aptikti 2997 slaptažodžiai, 1053 elektroniniai laiškai, 3023 vartotojų vardai iš 4928 įvairių serverių (vidinių ir išorinių), įskaitant vartotojų paskyras „Outlook“, „Facebook“, „Skype“, „Google Mail“, „Pinterest“, „Yahoo“, „LinkedIn“ ir „Twitter“, taip pat banko sąskaitų.

„Grabit“ vykdantys sukčiai nenuoseklūs: nedėdami ypatingų pastangų savo veiklai paslėpti (kai kurie pavyzdžiai naudojo vienodą serverį ir netgi vienodas vartotojų paskyras, griaudami savo saugumą), vis dėlto jie taiko sudėtingus būdus, kad savo kodą paslėptų nuo analitikų. Tai reiškia, kad operaciją vykdo skirtingų lygių specialistai – kai kurie jų akivaizdžiai rūpinasi anonimiškumu. „Kaspersky Lab“ ekspertai mano, kad nepaisant to, kas kuria kenkėjišką kodą, jis nebuvo parašytas nuo nulio.

Norint apsisaugoti nuo „Grabit“ rekomenduojami šie veiksmai:

  • Verta patikrinti kelią C:\Users\<PC-NAME>\AppData\Roaming\Microsoft, jei šiame kataloge atsiras vykdomi failai, kompiuteris gali būti užkrėstas.
  • „Windows“ sisteminė konfigūracija neturi turėti paminėjimų grabit1.exe sistemos pradžioje užkraunamų priedų lentelėje. Paleiskite paslaugą „msconfig“ ir įsitikinkite, kad atvaizduojamuose užrašuose nėra grabit1.exe.
  • Neatverskite priedų ir nuorodų, gautų iš nežinomų kontaktų. Taip pat neverta jų persiųsti kam nors kitam – taip kenkėjiška programa plinta korporatyviniame tinkle. Geriau prašyti IT administratoriaus pagalbos.
  • Taikykite moderniausius apsaugos sprendimus.

Visi „Kaspersky Lab“ produktai aptinka bet kokius šiuo momentu žinomus „Grabit“ pavyzdžius ir apsaugo vartotojus nuo šios grėsmės.

Išsamiai sužinoti kibernetinės kampanijos detales galima adresu:

https://securelist.com/blog/research/70087/grabit-and-the-rats/.