De la coreeni vine atacul Bluetooth
Reading Time: 2 minuteGruparea de cyberinfractori ScarCruft, un grup experimentat de atacatori, de limbă coreeană, a creat un cod capabil să identifice dispozitive Bluetooth conectate. Se crede că grupul APT ScarCruft este sponsorizat de stat și, de obicei, vizează entități guvernamentale și companii care au legături cu Peninsula Coreeană, aparent in căutare de informații de interes politic. În cea mai recentă activitate observată de Kaspersky Lab, sunt semne că acest grup evoluează, testând noi exploit-uri, manifestându-și interesul pentru datele de pe dispozitivele mobile și dovedindu-se foarte creativ în adaptarea instrumentelor și serviciilor legitime la operațiunile sale de spionaj cibernetic.
Atacurile grupului încep, la fel ca cele ale multor altor grupuri APT, fie cu phishing, fie cu o compromitere strategică a site-urilor – atac cunoscut sub numele de „watering-hole” – folosind un exploit sau alte trucuri pentru a infecta anumiți vizitatori.
În cazul ScarCruft, urmează o infecție, în primă fază, care poate ocoli Windows UAC (User Account Control), ceea ce îi permite să lanseze următoarea „încărcătură”, cu privilegii mai mari, folosind cod lansat în mod normal în organizații pentru teste legitime de intruziune. Pentru a evita detecția la nivel de rețea, malware-ul utilizează steganografia, ascunzând codul infectat într-un fișier imagine. Etapa finală a infecției implică instalarea unui backdoor bazat pe servicii de tip cloud, cunoscut sub numele de ROKRAT. Backdoor-ul colectează o gamă largă de informații din sistemele și dispozitivele victimei și le poate transmite către patru servicii cloud: Box, Dropbox, pCloud și Yandex.Disk.
Cercetătorii Kaspersky Lab au descoperit un interes crescut față de furtul de date de pe dispozitivele mobile, precum și pentru programele malware care colectează informații despre dispozitivele Bluetooth, utilizând Windows Bluetooth.
Pe baza datelor de telemetrie, printre victimele acestei campanii se numără societăți de investiții și comerciale din Vietnam și Rusia, care ar putea avea legături cu Coreea de Nord, și entități diplomatice din Hong Kong și Coreea de Nord. O victimă cu sediul în Rusia, infectată de ScarCruft, a fost anterior descoperită printre victimele grupului DarkHotel, de asemenea vorbitor de limbă coreeană.
Urmăriți Revista Biz și pe Google News. Abonamente Revista Biz