Τα τελευταία χρόνια παρατηρείται αύξηση των κακόβουλων εκστρατειών και οι ερευνητές της ESET καλούνται να ενισχύσουν τις προσπάθειες των αρχών για την κατατρόπωση τους, παρέχοντας την απαιτούμενη τεχνογνωσία.
Οι ερευνητές της ESET βοήθησαν το FBI και όλες τις εμπλεκόμενες δικαστικές και κυβερνητικές αρχές στον εντοπισμό δικτύων που σχετίζονταν με τη δράση της συμμορίας Ebury. Παράλληλα, βοήθησαν στη συλλογή δεδομένων για τον εντοπισμό των θυμάτων, ενώ ετοίμασαν και μια λεπτομερή τεχνική ανάλυση των δραστηριοτήτων της συμμορίας.
Η εκστρατεία αυτή ονομάστηκε «Επιχείρηση Windigo». Όπως αναφέρεται στη σχετική έκθεση, οι κυβερνοεγκληματίες κατόρθωσαν να παραβιάσουν παγκοσμίως πάνω από 25 χιλιάδες Linux servers, στέλνοντας περισσότερα από 35 εκατομμύρια spam μηνύματα καθημερινά και αποσπώντας πληρωμές εκατομμυρίων δολαρίων με δόλιους τρόπους. Το αποτέλεσμα των συντονισμένων δράσεων ήταν η σύλληψη των υπευθύνων και πριν λίγες μέρες, ένας από αυτούς, ο Maxim Senakh, ομολόγησε την ενοχή του.
Τα τελευταία χρόνια, η ESET έχει καταγράψει μια αύξηση του όγκου και της πολυπλοκότητας των απειλών APT. Η περσινή ανακάλυψη του BlackEnergy ανέδειξε την ύπαρξη κυβερνοεγκληματιών που αναπτύσουν malware σχεδιασμένα για να προκαλούν σημαντικές ζημιές. Το Linux malware σε επίπεδο server είναι εξαιρετικά επιζήμιο για το Internet και όλους τους χρήστες, συχνά ωστόσο παραβλέπεται λόγω ελλιπούς τηλεμετρίας. Το κακόβουλο λογισμικό Linux/Ebury δεν επηρεάζει τη συμβατική δραστηριότητα του server, ως εκ τούτου, η χρήση μίας ισχυρής λύσης ασφάλειας για server αποτελεί ένα καλό προληπτικό βήμα.
Μετά από δεκαετή παρατήρηση, οι ερευνητές της ESET αποκάλυψαν τα ευρήματα τους σχετικά με το backdoor Carbon της συμμορίας Turla σε μια αναλυτική έκθεση. Γνωστή για την ικανότητά της να αλλάζει τα εργαλεία της από τη στιγμή που εκτίθενται, η συμμορία Turla διατηρεί το κακόβουλο λογισμικό της σε συνεχή ανάπτυξη, αλλάζοντας τα mutex και τα ονόματα αρχείων σε κάθε έκδοση.
Το Carbon χρησιμοποιεί την ίδια μέθοδο, μετρώντας οκτώ ενεργές εκδόσεις τα τελευταία τρία χρόνια. Η μέθοδός του ξεκινά με το χρήστη να λαμβάνει ένα spear-phishing email ή να επισκέπτεται μία ήδη παραβιασμένη ιστοσελίδα, οπότε και εγκαθίσταται ένα backdoor — όπως το Tavdig ή το Skipper, για να ακολουθήσει η εγκατάσταση ενός δεύτερου backdoor, όπως το Carbon. Η πλήρης τεχνική ανάλυση του Carbon διατίθεται στο ειδησεογραφικό site της ESET WeLiveSecurity.com.