Hellsing, malware-ul care ataca alti infractori cibernetici

23

Expertii Kaspersky Lab au descoperit un atac cibernetic rar si neobisnuit, in care un infractor cibernetic a vizat un alt infractor cibernetic. In 2014, Hellsing, un grup de spionaj cibernetic restrans si simplist din punct de vedere al tehnicilor utilizate, care viza in general organizatii guvernamentale si diplomatice din Asia, a fost tinta a unui atac de tip spear-phishing demarat de o alta grupare de infractori cibernetici, la care a raspuns ulterior. Specialistii considera ca acest tip de atac marcheaza o noua directie in activitatile de criminalitate cibernetica: razboaiele APT (Advanced Persistent Threat).

 

descoperire in timpul cercetarii activitatilor demarate de Naikon, alt grup de spionaj cibernetic care viza tot organizatii din regiunea Asia-Pacific. Expertii Kaspersky Lab au descoperit ca una dintre tintele Naikon a descoperit tentativa de infectare a sistemului prin intermediul unui e-mail de tip spear-phishing, care continea fisiere periculoase.

 

Tinta a fost reticenta cu privire la autenticitatea e-mail-ului si a raspunsului primit si nu a deschis fisierul atasat. La scurt timp dupa, tinta a trimis un e-mail inapoi catre adresa de la care primise mesajul, cu acelasi fisier malware atasat. Aceasta actiune a atras atentia expertilor Kaspersky Lab, care au pornit o cercetare ce a dus la descoperirea grupului APT Hellsing.

 

Metoda de contra-atac indica faptul ca Hellsing a vrut sa identifice grupul Naikon si sa colecteze informatii despre acesta. O analiza mai amanuntita a gruparii Hellsing indica folosirea mai multor e-mail-uri de tip spear-phishing, create sa distribuie fisiere malware in diverse organizatii, pentru a le spiona. In momentul in care victima accesa fisierul, sistemul se infecta cu un backdoor care putea descarca si incarca fisiere, si care se putea actualiza si ulterior dezinstala automat. Conform descoperirilor expertilor Kaspersky Lab, numarul organizatiilor vizate de Hellsing pana in prezent este de aproape 20.

 

Atacatorii sunt foarte selectivi in ceea ce priveste tipul de organizatie atacata, incercand sa infecteze in principal entitati guvernamentale si diplomatice. Conform analizei Kaspersky Lab, gruparea Hellsing este activa cel putin din 2012.

 

Pentru a se proteja de astfel de atacuri, firma de securitate cibernetica recomanda utilizatorilor urmatoarele:

  • Sa nu acceseze fisiere periculoase primite de la utilizatori necunoscuti;
  • Sa fie atenti la arhivele protejate cu parola care contin fisiere de tip SCR sau alte fisiere executabile;
  • Daca nu sunt siguri de securitatea fisierului, sa il deschida in sandbox;
  • Sa se asigure ca folosesc un sistem de operare actualizat;
  • Sa actualizeze toate aplicatiile de tipul Microsoft Office, Java, Adobe Flash Player si Adobe Reader.