Experții Kaspersky Lab au descoperit un atac cibernetic rar și neobișnuit, în care un infractor cibernetic a vizat un alt infractor cibernetic. În 2014, Hellsing, un grup de spionaj cibernetic restrâns și simplist din punct de vedere al tehnicilor utilizate, care viza în general organizații guvernamentale și diplomatice din Asia, a fost țintă a unui atac de tip spear-phishing demarat de o altă grupare de infractori cibernetici, la care a răspuns ulterior. Experții Kaspersky Lab consideră că acest tip de atac marchează o nouă direcție în activitățile de criminalitate cibernetică: războaiele APT (Advanced Persistent Threat).
Experții Kaspersky Lab au făcut această descoperire în timpul cercetării activităților demarate de Naikon, alt grup de spionaj cibernetic care viza tot organizații din regiunea Asia-Pacific. Aceștia au descoperit că una dintre țintele Naikon a descoperit tentativa de infectare a sistemului prin intermediul unui e-mail de tip spear-phishing,care conținea fișiere periculoase.
Ținta a fost reticentă cu privire la autenticitatea e-mail-ului și a răspunsului primit și nu a deschis fișierul atașat. La scurt timp după, ținta a trimis un e-mail înapoi către adresa de la care primise mesajul, cu același fișier malware atașat. Această acțiune a atras atenția experților Kaspersky Lab, care au pornit o cercetare ce a dus la descoperirea grupului APT Hellsing.
Metoda de contra-atac indică faptul că Hellsing a vrut să identifice grupul Naikon și să colecteze informații despre acesta.
O analiză mai amănunțită a grupării Hellsing indică folosirea mai multor e-mail-uri de tip spear-phishing,create să distribuie fișiere malware în diverse organizații, pentru a le spiona. În momentul în care victima accesa fișierul, sistemul se infecta cu un backdoor care putea descărca și încărca fișiere, și care se putea actualiza și ulterior dezinstala automat. Conform descoperirilor experților Kaspersky Lab, numărul organizațiilor vizate de Hellsing până în prezent este de aproape 20.
Țintele Hellsing
Soluțiile Kaspersky Lab au detectat și au blocat malware-ul Hellsing în Malaezia, Filipine, India, Indonezia și SUA, cele mai multe victime fiind localizate în Malaezia și Filipine. Atacatorii sunt foarte selectivi în ceea ce privește tipul de organizație atacată, încercând să infecteze în principal entități guvernamentale și diplomatice.
„Acest atac Hellsing împotriva grupului Naikon, ce se aseamănă cu un fel de răzbunare de tipul Războiul Stelelor – Imperiul Contraatacă, este fascinant,” a comentat Costin Raiu, Director Global Research and Analysis Team (GReAT) în cadrul Kaspersky Lab. „În trecut, am văzut și alte grupuri APT care se atacau reciproc accidental, atunci când furau adrese de contact și distribuiau e-mail-uri în masă. Însă, acum, luând în considerare ținta și originile atacului, este mai probabil că acesta este un atac de tipul APTcontra APT deliberat,” a explicat Costin Raiu.
Conform analizei Kaspersky Lab, gruparea Hellsing este activă cel puțin din 2012.
Experții Kaspersky Lab recomandă utilizatorilor să adopte următoarele măsuri pentru a se proteja de atacurile Hellsing:
- Să nu acceseze fișiere periculoase primite de la utilizatori necunoscuți;
- Să fie atenți la arhivele protejate cu parolă care conțin fișiere de tip SCR sau alte fișiere executabile;
- Dacă nu sunt siguri de securitatea fișierului, să îl deschidă în sandbox;
- Să se asigure că folosesc un sistem de operare actualizat;
- Să actualizeze toate aplicațiile de tipul Microsoft Office, Java, Adobe Flash Player și Adobe Reader.
Produsele Kaspersky Lab detectează și blochează programele malware utilizate degrupul Hellsing și de grupul Naikon.