Microsoft ka zbuluar një fushatë spiunazhi kibernetik të kryer nga grupi Secret Blizzard (i financuar nga qeveria ruse) kundër stafit të ambasadave të huaja në Moskë. Kriminelët kibernetikë përdorën teknikën AitM (Adversary-in-the-Middle) për të shpërndarë spyware-in ApolloShadow në nivelin ISP (Internet Service Provider). Malware shfrytëzon certifikatat rrënjë që duket se janë përditësime të antivirusit Kaspersky.
Përshkrimi i sulmeve të spiunazhit
Microsoft zbuloi sulmet duke filluar në shkurt. Për fushatën më të fundit të spiunazhit kibernetik, qasja fillestare në kompjuterët Windows të viktimave u fitua përmes teknikës AitM. Kriminelët kibernetikë nga grupi Secret Blizzard morën kontrollin e rrjeteve të ISP-ve dhe telekomunikacionit në Rusi (natyrisht me lejen e qeverisë) për të kapur kërkesat nga ambasadat e huaja.
Kur përdoruesit hyjnë në një “portal të kapur” – faqe interneti të përdorura për t’u kyçur në një shërbim – shfletuesi ridrejtohet në një domen të kontrolluar nga kriminelët kibernetikë. Viktima e padyshuar më pas sheh një mesazh gabimi në lidhje me një certifikatë të skaduar. Nëse ata ndjekin shkarkimin e sugjeruar, ApolloShadow instalohet dhe ekzekutohet. Malware shfaq një dritare që shfaqet për të shkarkuar skedarin CertificateDB.exe, i cili duket se është instaluesi për programin antivirus Kaspersky. Në realitet, ai lejon privilegje të larta dhe qëndrueshmëri të sistemit.
ApolloShadow në thelb lejon përgjimin e trafikut dhe aksesin në distancë në kompjuterët e stafit të ambasadës. Qëllimi, sigurisht, është të mbledhë të dhëna konfidenciale që mund të jenë të dobishme për qeverinë ruse. Microsoft ka publikuar të gjitha detajet teknike dhe ka sugjeruar masa mbrojtëse, duke përfshirë përdorimin e një VPN ose ofruesve të lidhjeve satelitore.
Ky është komenti i Kaspersky për incidentin:
Markat më të njohura përdoren shpesh si karrem, pa dijeninë ose pëlqimin e tyre. Ne gjithmonë rekomandojmë shkarkimin e aplikacioneve vetëm nga burime zyrtare dhe verifikimin me kujdes të vërtetësisë së çdo komunikimi që pretendon se vjen nga kompani të besueshme. Kaspersky është i përkushtuar për të mbrojtur të gjithë përdoruesit nga çdo lloj kërcënimi, pavarësisht nga origjina e tij. Klientët tanë janë tashmë të mbrojtur nga kërcënimi i përshkruar në këtë hulumtim. Ne e vlerësojmë njohjen e Microsoft për analizën tonë të mëparshme të sulmeve të synuara të kryera përmes ofruesve të shërbimeve të internetit dhe presim me padurim bashkëpunimin e vazhdueshëm brenda komunitetit të sigurisë kibernetike.
Discussion about this post