PLATINUM znowu sięga po steganografię


Specjaliści Kaspersky informują o wykryciu wyrafinowanej kampanii cyberszpiegowskiej wycelowanej w placówki dyplomatyczne, rządowe oraz wojskowe w Azji Południowej. Trwała ona niemal 6 lat, a dochodzenie dowiodło, że stało za nią, uważane za już nieistniejące, ugrupowanie PLATINUM. Cyberprzestępcom udało się ukrywać swoją aktywność za sprawą steganografii – techniki, która umożliwia ukrywać sam fakt przekazywania informacji.

O tym, że kreatywność cyberprzestępczego półświatka nie ma właściwie granic, nie trzeba przekonywać już chyba nikogo. Eksperci Kaspersky już od jakiegoś czasu informowali o kolejnym, niepokojącym trendzie w cyberzagrożeniach. Wyszło bowiem na jaw, że cyberprzestępcy rozpoczęli swą przygodę ze steganografią. Technika ta polega na przesyłaniu danych w ukrytej postaci, przy czym maskowany jest tu sam fakt przesyłania danych, co odróżnia ją od kryptografii, w przypadku której atakujący ukrywają wyłącznie dane. Wykorzystanie steganografii pozwala cyberprzestępcom pozostawać w zainfekowanym systemie długo i bez wzbudzania podejrzeń. Obserwacje specjalistów Kaspersky Lab wykazały, że tą właśnie metodą posłużyło się ostatnio ugrupowanie PLATINUM – uśpiony od 2017 roku gang, który atakują rządy i powiązane organizacje w Azji Południowej i Południowo-Wschodniej.

W przypadku wykrytej niedawno operacji PLATINUM polecenia szkodliwego oprogramowania zostały osadzone w kodzie HTML strony internetowej. Tabulatory oraz spacje nie mają wpływu na to, jak kod HTML przekłada się na zawartość strony internetowej, dlatego cyberprzestępcy zakodowali polecenia przy użyciu określonej sekwencji tych dwóch znaków. W efekcie polecenia były prawie niemożliwe do wykrycia w ruchu sieciowym, ponieważ szkodliwe oprogramowanie wydawało się jedynie uzyskiwać dostęp do niewzbudzającej podejrzeń strony, która pozostawała niezauważalna w ogólnym ruchu.

W celu wykrycia szkodliwego oprogramowania badacze musieli sprawdzić programy, które potrafiły przesyłać pliki na urządzenie. Okazało się, że jeden z nich wykazywał nietypowe zachowanie – uzyskiwał dostęp do usługi w chmurze publicznej Dropbox i został tak zaprogramowany, aby działać jedynie w określonych godzinach. Jak zorientowali się później badacze, miało to na celu ukrycie aktywności szkodliwego oprogramowania wśród procesów uruchamianych w standardowych godzinach pracy, kiedy jego zachowanie nie wzbudziłoby podejrzeń. W rzeczywistości, szkodliwy moduł potajemnie pobierał i wysyłał dane oraz pliki na i z zainfekowanego urządzenia.


Dotychczas znane kampanie ugrupowania PLATINUM były wyrafinowane i precyzyjnie wykonane. To samo cechuje szkodliwe oprogramowanie wykorzystane w omawianym ataku – oprócz steganografii szkodnik stosuje inne metody, które pozwoliły mu uniknąć wykrycia przez długi czas. Potrafi on na przykład przesyłać polecenia nie tylko z centrum sterowania, ale również z jednej zainfekowanej maszyny na drugą. W ten sposób cyberugrupowanie mogło zainfekować nawet te urządzenia, które nie były połączone z internetem, jednak działały w ramach tej samej sieci wewnętrznej. Działanie cybergangów wykorzystujących steganografię, takich jak PLATINUM, oznacza, że zaawansowane zagrożenia unikają wykrycia, stosując coraz bardziej wyrafinowane metody, o czym powinni pamiętać dostawcy ochrony, tworząc swoje rozwiązania bezpieczeństwa – powiedział Aleksiej Szulmin, badacz ds. cyberbezpieczeństwa, Kaspersky.

Wykrywanie ataków

fot. mat. prasowe

Wykrywanie ataków

PLATINUM powraca – ugrupowanie cyberprzestępcze wykorzystuje steganografię w celu uniknięcia wykrycia

Porady bezpieczeństwa

Kaspersky zaleca podjęcie następujących działań, które pomogą firmom zabezpieczyć się przed zaawansowanymi cyberzagrożeniami:

  • Wprowadź szkolenie w zakresie zwiększenia świadomości dot. bezpieczeństwa dla pracowników, podczas którego dowiedzą się, jak rozpoznać oraz unikać potencjalnie szkodliwych aplikacji oraz plików. Na przykład pracownicy nie powinni pobierać ani uruchamiać żadnych aplikacji ani programów z niezaufanych bądź nieznanych źródeł.
  • W celu zapewnienia wykrywania na poziomie punktu końcowego, badania i niezwłocznego naprawiania szkód na skutek incydentów stosuj rozwiązania EDR, takie jak Kaspersky Endpoint Detection and Response.
  • Oprócz niezbędnej ochrony punktów końcowych stosuj rozwiązanie zabezpieczające klasy korporacyjnej, takie jak Kaspersky Anti Targeted Attack Platform, które wykrywa zaawansowane zagrożenia na poziomie sieci na wczesnym etapie.
  • Zapewnij swojemu zespołowi z centrum operacji bezpieczeństwa dostęp do najnowszych informacji dot. cyberzagrożeń, aby mógł na bieżąco poznawać najnowsze narzędzia, techniki oraz taktyki wykorzystywane przez cyberprzestępców.

You have Successfully Subscribed!