Kaspersky a descoperit un nou instrument de spionaj cibernetic, reperat in institutii financiare din India

DTrack este un instrument de spionaj cibernetic marca Lazarus, care țintește instituții financiare și centre de cercetare. Programul spyware a fost creat de grupul Lazarus și este folosit pentru a încărca și descărca fișiere în sistemele victimelor, a înregistra apăsarea tastelor și a efectua alte acțiuni tipice unui instrument de administrare de la distanță periculos (RAT).

În 2018, cercetătorii Kaspersky au descoperit ATMDtrack – un malware creat pentru a se infiltra în bancomatele din India și a fura datele de card ale clienților. În urma investigațiilor ulterioare cu ajutorul Kaspersky Attribution Engine și al altor instrumente, cercetătorii au descoperit peste 180 de noi mostre de malware cu secvențe de cod similare cu ATMDtrack – dar care, în același timp, în mod clar nu au fost orientate către bancomate. În schimb, funcțiile lor le fac să fie instrumente de spionaj – cunoscute acum sub numele de Dtrack. Mai mult, nu numai între cele două tipuri există asemănări, ci și cu campania DarkSeoul din 2013, care a fost atribuită grupării Lazarus – un atacator APT responsabil pentru operațiuni multiple de spionaj și sabotaj cibernetic.

Dtrack poate fi utilizat ca instrument de administrare de la distanță (RAT), oferindu-le atacatorilor control complet asupra dispozitivelor infectate. Infractorii pot efectua apoi diferite operațiuni, cum ar fi încărcarea și descărcarea fișierelor și executarea proceselor cheie.

Entitățile vizate de atacatorii care utilizează Dtrack RAT au adesea politici de securitate de rețea slabe și parole standard și nu reușesc să urmărească traficul din întreaga organizație. Dacă este implementat cu succes, programul spyware este capabil să enumere toate fișierele disponibile și procesele rulante, key logging, istoricul browser-ului și IP-urile gazdă – inclusiv informații despre rețelele disponibile și conexiunile active.

Programul malware recent descoperit este activ și, conform telemetriei Kaspersky, este încă utilizat în atacuri cibernetice.

„Lazarus este un grup destul de neobișnuit, dintre cele sponsorizate de state. Pe de o parte, așa cum fac multe alte grupuri similare, se concentrează pe efectuarea operațiunilor de spionaj cibernetic sau sabotaj. Pe de altă parte, s-a constatat, de asemenea, că are legătură cu atacuri care vizează în mod evident furtul de bani”, spune Konstantin Zykov, security researcher în echipa globală de cercetare și analiză Kaspersky.

„Aceasta din urmă este o caracteristică unică pentru un atacator de nivel înalt, deoarece, în general, alte grupuri de acest fel nu au motivații financiare în operațiunile lor. Numeroasele mostre de Dtrack pe care le-am găsit demonstrează modul în care Lazarus este unul dintre cele mai active grupuri APT, care dezvoltă și perfecționează constant amenințări în încercarea de a afecta industrii la scară largă.

Execuția lor reușită cu Dtrack RAT dovedește că, inclusiv atunci când o amenințare pare să dispară, ea poate reveni sub o altă formă, pentru a ataca noi ținte. Chiar dacă sunteți un centru de cercetare sau o organizație financiară care funcționează exclusiv în sectorul comercial, fără afilieri guvernamentale, tot ar trebui să luați în considerare eventualitatea de a fi atacat de o grupare complexă și să vă pregătiți corespunzător.”