A Kaspersky Lab felfedezte a Reductor nevű rosszindulatú eszközt, amely lehetővé teszi az adatok titkosítására használt véletlenszám-generátor meghamisítását a böngészőből a HTTPS-oldalakra történő átvitel során. Ez megnyitja az ajtót a támadók előtt, hogy a felhasználó tudta nélkül kémkedhessenek böngésző tevékenységeik után. A talált modulok emellett távoli adminisztrációs funkciókat is tartalmaztak, ami maximalizálja a szoftver képességeit.
Ezzel az eszközzel a támadók kiberkémkedést hajtottak végre a FÁK-országok diplomáciai képviseletén, elsősorban a felhasználói forgalmat figyelve.
A kártevő telepítése főként a korábban a Turla kibercsoport eszközeként azonosított COMPfun rosszindulatú programmal, vagy „tiszta” szoftverek helyettesítésével történik a legitim forrásból a felhasználó számítógépére történő letöltés során. Ez valószínűleg azt jelenti, hogy a támadók uralják az áldozat hálózati csatornáját.
„Ez az első alkalom, hogy találkozunk ilyen típusú kártevőkkel, amelyek lehetővé teszik számunkra, hogy megkerüljük a böngésző titkosítását, és hosszú ideig észrevétlenül maradjunk. Bonyolultsági foka azt sugallja, hogy a Reductor alkotói komoly szakemberek. Az ilyen rosszindulatú programokat gyakran állami támogatással hozzák létre. Arra azonban nincs bizonyítékunk, hogy a Reductor kapcsolatban állna bármely konkrét kibercsoporttal” – mondta Kurt Baumgartner, a Kaspersky Lab vezető vírusirtó szakértője.
Minden Kaspersky Lab megoldás sikeresen felismeri és blokkolja a Reductor programot. A fertőzés elkerülése érdekében a Kaspersky Lab a következőket ajánlja:
- rendszeresen elvégzi a vállalati informatikai infrastruktúra biztonsági auditját;
- megbízható biztonsági megoldás telepítése webes fenyegetések elleni védelmi összetevővel, amely lehetővé teszi az olyan fenyegetések felismerését és blokkolását, amelyek titkosított csatornákon keresztül próbálnak behatolni a rendszerbe, mint például a Kaspersky Security for Business, valamint olyan vállalati szintű megoldást, amely észleli az összetett fenyegetéseket hálózati szinten a korai szakaszban, például Kaspersky Anti Targeted Attack Platform;
- csatlakoztassa az SOC-csapatot a fenyegetés-felderítő rendszerhez, hogy hozzáférhessen a támadók által használt új és meglévő fenyegetésekről, technikákról és taktikákról szóló információkhoz;
- rendszeresen tartanak képzéseket az alkalmazottak digitális írástudásának fejlesztésére.
Forrás: 3dnews.ru