Η Παγκόσμια Ομάδα Έρευνας και Ανάλυσης της Kaspersky Lab δημοσίευσε μια εκτενή έρευνα σχετικά με το Εργαλείο Απομακρυσμένης Πρόσβασης (RAT) Adwind, ένα πολυλειτουργικό κακόβουλο πρόγραμμα που επηρεάζει πολλαπλές πλατφόρμες. Το πρόγραμμα αυτό είναι επίσης γνωστό και ως AlienSpy, Frutas, Unrecom, Sockrat, JSocket και jRat και διανέμεται μέσω μίας πλατφόρμας “Malware-as-a-Service”. Σύμφωνα με τα ευρήματα της έρευνας, η οποία πραγματοποιήθηκε μεταξύ 2013 και 2016, διαφορετικές εκδόσεις του κακόβουλου προγράμματος Adwind έχουν χρησιμοποιηθεί σε επιθέσεις κατά τουλάχιστον 443.000 χρηστών, επιχειρήσεων και μη εμπορικών οργανισμών ανά τον κόσμο. Η πλατφόρμα και το κακόβουλο λογισμικό είναι ακόμα ενεργά.
Στα τέλη του 2015, οι ερευνητές της Kaspersky Lab έλαβαν γνώση για ένα ασυνήθιστο κακόβουλο πρόγραμμα, το οποίο είχε ανακαλυφθεί κατά τη διάρκεια μιας απόπειρας στοχευμένης επίθεσης εναντίον μιας τράπεζας στη Σιγκαπούρη. Ένα κακόβουλο αρχείο JAR ήταν συνημμένο σε ένα spear-phishing email που στάλθηκε σε υπάλληλο της τράπεζας. Οι πλούσιες δυνατότητες του κακόβουλου λογισμικού, συμπεριλαμβανομένης της ικανότητα να «τρέχει» σε πολλαπλές πλατφόρμες, καθώς και το γεγονός ότι δεν εντοπίστηκε από οποιαδήποτε λύση antivirus, τράβηξαν αμέσως την προσοχή των ερευνητών.
Το Adwind RAT
Αποδείχτηκε ότι ο οργανισμός είχε δεχτεί επίθεση από το Adwind RAT, ένα backdoor πρόγραμμα που ήταν διαθέσιμο για αγορά και «γραμμένο» εξολοκλήρου σε γλώσσα Java, στοιχεία που το καθιστούν ικανό να επηρεάζει και να λειτουργεί σε πολλαπλές πλατφόρμες. Το συγκεκριμένο πρόγραμμα μπορεί να «τρέξει» σε πλατφόρμες με λειτουργικό Windows, OSX, Linux και Android, παρέχοντας δυνατότητες για απομακρυσμένο έλεγχο της επιφάνειας εργασίας, συλλογή δεδομένων, εκδιήθηση δεδομένων κ.α. Αν ο χρήστης-στόχος ανοίξει το συνημμένο αρχείο JAR, το κακόβουλο πρόγραμμα αυτο-εγκαθίσταται και προσπαθεί να επικοινωνήσει με τον command and control server. Στη λίστα με τις λειτουργίες του κακόβουλου λογισμικού περιλαμβάνονται δυνατότητες για:
- Υποκλοπή πληκτρολογήσεων
- Υποκλοπή προσωρινά αποθηκευμένων κωδικών πρόσβασης και δεδομένων από onlineφόρμες
- Λήψη screenshots
- Λήψη φωτογραφιών και καταγραφή βίντεο μέσω webcam
- Ηχογράφηση μέσω μικροφώνου
- Μεταφορά φακέλων
- Συλλογή γενικών πληροφοριών για σύστημα και χρήστη
- Υποκλοπή κλειδιών για πορτοφόλια ηλεκτρονικών νομισμάτων
- Διαχείριση μηνυμάτων SMS (για Android πλατφόρμες)
- Κλοπή πιστοποιητικών δικτύων VPN
Παρότι χρησιμοποιείται κυρίως από επιτιθέμενους που ενεργούν καιροσκοπικά και διανέμεται σε μαζικές εκστρατείες spam, υπάρχουν περιπτώσεις όπου το Adwind χρησιμοποιήθηκε σε στοχευμένες επιθέσεις. Τον Αύγουστο του 2015, αναφορές στο Adwind βρέθηκαν σε δημοσιεύματα που αφορούσαν μια υπόθεση ψηφιακής κατασκοπείας εναντίον ενός Αργεντίνου εισαγγελέα, ο οποίος εν τέλει βρέθηκε νεκρός τον Ιανουάριο του 2015. Το περιστατικό κατά της τράπεζας στην Σιγκαπούρη ήταν άλλο ένα παράδειγμα στοχευμένης επίθεσης. Μια βαθύτερη ματιά σε γεγονότα που σχετίζονται με τη χρήση του Adwind RAT έδειξε ότι αυτές οι στοχευμένες επιθέσεις δεν ήταν οι μόνες.
Οι στόχοι
Κατά τη διάρκεια της έρευνας, οι ειδικοί της Kaspersky Lab κατάφεραν να αναλύσουν σχεδόν 200 παραδείγματα επιθέσεων spear-phishing, οι οποίες οργανώθηκαν από άγνωστους εγκληματίες, με στόχο την εξάπλωση του κακόβουλου λογισμικού Adwind. Επίσης, μπόρεσαν να προσδιορίσουν τους κλάδους για τους οποίους εργάζονταν οι περισσότεροι από τους στόχους. Η σχετική λίστα περιλαμβάνει επιχειρήσεις από τη βιομηχανία, τις χρηματοοικονομικές υπηρεσίες, τη μηχανική και το design, το λιανεμπόριο, κρατικούς φορείς, ναυτιλιακές επιχειρήσεις, παρόχους τηλεπικοινωνιών, εταιρείες λογισμικού, εκπαιδευτικούς οργανισμούς, εταιρείες τροφίμων, παραγωγής και υγειονομικής περίθαλψης, Μέσα Μαζικής Ενημέρωσης και επιχειρήσεις ενέργειας.
Με βάση πληροφορίες που προέρχονται από το Kaspersky Security Network, τα 200 παραδείγματα επιθέσεων spear-phishing που παρατηρήθηκαν από τον Αύγουστο του 2015 μέχρι και τον Ιανουάριο του 2016, έδειξαν ότι πάνω από 68.000 χρήστες αντιμετώπισαν δείγματα του κακόβουλου λογισμικού Adwind RAT.
Κατά την ίδια περίοδο, η γεωγραφική κατανομή των χρηστών που δέχτηκαν επίθεση και έχουν καταχωρηθεί στο KSN, δείχνει ότι σχεδόν οι μισοί από αυτούς (49%) ζούσαν στις ακόλουθες 10 χώρες: Ηνωμένα Αραβικά Εμιράτα, Γερμανία, Ινδία, ΗΠΑ, Ιταλία, Ρωσία, Βιετνάμ, Χονγκ Κονγκ, Τουρκία και Ταϊβάν.
Με βάση τα προφίλ των αναγνωρισμένων στόχων, οι ερευνητές της Kaspersky Lab πιστεύουν ότι οι πελάτες της πλατφόρμας Adwind εντάσσονται στις ακόλουθες κατηγορίες: απατεώνες που θέλουν να προχωρήσουν στο επόμενο επίπεδο (με τη χρήση κακόβουλου λογισμικού για πιο προηγμένες απάτες), ανταγωνιστές που χρησιμοποιούν αθέμιτα μέσα, ψηφιακοί μισθοφόροι (κατάσκοποι που «ενοικιάζουν» τις υπηρεσίες τους) και ιδιώτες που θέλουν να κατασκοπεύσουν ανθρώπους που γνωρίζουν.
Threat-as-a-Service
Ένα από τα κύρια χαρακτηριστικά που διακρίνει το Adwind RAT από άλλα «εμπορικά» κακόβουλα προγράμματα είναι ότι διανέμεται ανοιχτά, με τη μορφή πληρωμένης υπηρεσίας, όπου ο «πελάτης» πληρώνει ένα τέλος σε αντάλλαγμα για τη χρήση του κακόβουλου προγράμματος. Με βάση έρευνα της δραστηριότητας των χρηστών στον εσωτερικό πίνακα μηνυμάτων και μερικές άλλες παρατηρήσεις, οι ερευνητές της Kaspersky Lab εκτιμούν ότι υπήρχαν περίπου 1.800 χρήστες στο σύστημα μέχρι το τέλος του 2015. Αυτή είναι μία από τις μεγαλύτερες πλατφόρμες κακόβουλου λογισμικού που έχουν καταγραφεί μέχρι σήμερα.
«Η πλατφόρμα Adwind, στη σημερινή της κατάσταση, μειώνει σημαντικά το ελάχιστο επίπεδο επαγγελματικών γνώσεων που απαιτούνται για να εισέλθει κάποιος στο χώρο του ψηφιακού εγκλήματος. Αυτό που μπορούμε να πούμε, με βάση την έρευνα μας για την επίθεση εναντίον της τράπεζας στη Σιγκαπούρη, είναι ότι ο εγκληματίας πίσω από αυτό δεν έχει καμία σχέση με έναν «επαγγελματία» χάκερ. Επίσης, πιστεύουμε ότι οι περισσότεροι από τους «πελάτες» της πλατφόρμας Adwind έχουν πάνω-κάτω το ίδιο επίπεδο γνώσεων Πληροφορικής. Κι αυτό είναι μια ανησυχητική τάση», δήλωσε ο Aleksandr Gostev, Chief Security Expert της Kaspersky Lab.
«Παρά τις πολλαπλές αναφορές για τις διαφορετικές γενιές αυτού του εργαλείου, οι οποίες δημοσιεύτηκαν από διάφορους παρόχους λύσεων ασφάλειας τα τελευταία χρόνια, η πλατφόρμα είναι ακόμα ενεργή και χρησιμοποιείται από εγκληματίες όλων των ειδών. Πραγματοποιήσαμε αυτή την έρευνα, για να τραβήξουμε την προσοχή της κοινότητας της ασφάλειας και των διωκτικών αρχών ,ώστε να λάβουν χώρα οι απαραίτητες ενέργειες που θα οδηγήσουν στην πλήρη διακοπή της δράσης αυτής της πλατφόρμας», δήλωσε ο Vitaly Kamluk, Διευθυντής της Παγκόσμιας Ομάδας Έρευνας και Ανάλυσης της Kaspersky Labγια την περιοχή Ασίας-Ειρηνικού.
Η Kaspersky Lab έχει υποβάλει τα ευρήματα της για την πλατφόρμα Adwind στις διωκτικές αρχές.