Tym razem znana już z wcześniejszych ataków grupa cyberprzestepców Turla wzięła sobie za cel Europe Wschodnią, a konkretniej – znajdujące się na jej terenie placówki dyplomatyczne oraz ambasady. Narzędzie wymuszało na pracownikach instalowanie złośliwego oprogramowania, za pomocą którego wydobywało poufne informacje. W ataku brała udział sfałszowana aplikacja Flash Player, co ciekawsze, ściągana z faktycznej strony Adobe.
W jaki sposób wygląda atak?
Całe zajście wykryli specjaliści z ESET – to już kolejny przypadek, w którym grupa dokonywała ataków na poważniejsze jednostki. Wcześniej, co najmniej od 2016 roku, zanotowano również ataki na miedzy innymi konsulaty, jednostki militarne na całym świecie, ale też na przykład konsulaty, kradnąc poufne dane.
Tym razem w ataku wykorzystano fałszywą aplikację instalacyjną popularnej wtyczki Adobe Flash Player, za pomocą której możliwe jest wyświetlanie chociażby różnego rodzaju animacji znajdujących się na stronach www. Atak był sprytnie i przemyślanie zorganizowany, ponieważ złośliwe oprogramowanie było pobierane z całkowicie legalnego źródła, jakim była oficjalna strona internetowa Adobe, a konkretniej: get.adobe.com. Istnieje przynajmniej kilka sposobów na stworzenie takiej sposobności – którą z nich wykorzystano w tym przypadku, do końca jeszcze wciąż nie wiadomo.
Dyplomaci w opałach
Zagrożenie wymuszało na konsulach wchodzenia na stronę Adobe oraz pobierania złośliwego oprogramowania. Po pobraniu uruchamiany był złośliwy kod, mający na celu infiltrowanie komputerów pracowników oraz wykradanie przechowywanych na nich danych. Wykradane były między innymi dane użytkownika, ale również informacje dotyczące zabezpieczenia przeciwwirusowego. Po tym wszystkim na komputerze ofiary faktycznie instalowane było prawdziwe, „zdrowe” oprogramowanie Adobe. Specjaliści z ESET są zdania, że Turla wykorzystała inny sposób na zaatakowanie, nie naruszając ani samej struktury programu, ani nie wykorzystując jakichkolwiek luk w zabezpieczeniu samego programu.
Rozwiązanie w zasięgu ręki?
W przypadku grupy turla na cel zostali wzięci jedynie dyplomaci Europy Wschodniej. Nie oznacza to jednak, że w którymś momencie cyberprzestępca zainteresowany atakiem na „zwykłych śmiertelników” nie posłuży się podobnym pomysłem. Sposobem na uniknięcie zagrożenia jest przede wszystkim ściąganie oprogramowania jedynie za pomocą szyfrowanego połączenia. W przypadku bezpiecznych połączeń w pasku adresu pojawi się zielona kłódka, a adres strony będzie się zaczynał od protokołu „https”.
Nie słyszałem wcześniej o takich atakach hakerskich. Muszę bardziej zabezpieczyć komputer.
Ja bardzo dbam o zabezpieczenie komputera, dlatego nie muszę się martwić :)