Kormányzati megbízásból dolgozhat a hibrid-malware
Eddig ismeretlen hibrid malware-t találtak biztonsági szakértők. A CosmicDuke névre keresztelt kártevő trójaiként szivárog be a kiszemelt rendszerekbe, ahol aztán minden információt összegyűjt, amihez hozzáfér, legyen szó jelszavakról, beszélgetésekről vagy akár titkosítási kulcsokról.
Két ismert malware képességeit ötvöző új, eddig ismeretlen kártevőre bukkant az F-Secure. A rosszindulatú szoftver a MiniDuke és a Cosmu névre hallgató malware-ek fegyvertárával dolgozik - innen kapta a CosmicDuke nevet. A MiniDuke egy úgynevezett APT (Advanced Persistent Threat) trójai, amely 2013-ban tűnt fel először, és európai kormányzati ügynökségek, illetve a NATO ellen is bevetették, ahova hivatalos dokumentumoknak és fájloknak álcázva jutott be. A Cosmu valamivel kisebb kaliberű fenyegetés, amelyet hackerek leginkább adatlopásokhoz használnak.
Ezek alapján nem nehéz kitalálni a Cosmic Duke működési elvét: phishing támadással, egy hivatalosnak tűnő emailen vagy megbízhatónak látszó fájlon keresztül fertőzi meg a rendszereket, amelyekben aztán gyakorlatilag minden tevékenységet megfigyel: egy keylogger program segítségével rögzíti a billentyűleütéseket, de a vágólap tartalmát is menti sőt időnként még képernyőképet is készít. Mindezek mellett természetesen minden online csevegést, emailt, és jelszót is megjegyez, illetve akár titkosítási tanúsítványokat és kulcsokat is képes ellopni.
A hazai IT felrázásához haza kell hozni a legjobbjainkat Az elvándorolt szakemberek visszacsábítása komoly kihívás, azonban számos ország már megmutatta, hogy ez nem lehetetlen feladat.
Kevés dolog van tehát ami elkerülné a CosmicDuke figyelmét. A kártevő az összegyűjtött információkat távoli szerverekre továbbítja, ahol a támadók azokkal kedvük szerint rendelkezhetnek: beléphetnek a felhasználó online fiókjaiba, vagy szerverekhez férhetnek hozzá, tovább terjesztve a malware-t. Noha a rosszindulatú szoftver képességei korántsem páratlanok, az F-Secure szerint kifejezetten aggasztó, hogy elmosódni látszik a határ a "mindennapi", és az adott esetben kormányzati megbízásból, jelentős támogatással dolgozó hackerek fegyvertára között.
A biztonsági cég egyik tanácsadója, Sean Sullivan szerint több jel is arra mutat, hogy a CosmicDuke-ot megbízásra fejlesztették ki, hogy érzékeny információkat gyűjtsön egy kormányzati ügyfél számára. Noha konkrét célpont egyelőre nem ismert, bizonyítható, hogy a kártevőt célzott támadásokra szánták - vagy akár használják most is. A támadáshoz használt "csalidokumentum" ugyanis adott iparágakat célzó címeket tartalmaz, az egyik például az ukrán gázvezetékek biztonsági állapotát taglalja. Sullivan szerint a malware-ek ilyen ütemű fejlődésével rendkívül fontos, hogy az egyes vállalatok helyesen mérjék fel a rájuk vonatkozó biztonsági kockázatokat és biztosítsák a megfelelő védelmet adataik számára.