Kaspersky Lab odkrył szkodliwe narzędzie o nazwie Reductor, które umożliwia fałszowanie generatora liczb losowych używanego do szyfrowania danych podczas ich przesyłania z przeglądarki do witryn HTTPS. Otwiera to atakującym możliwość szpiegowania działań przeglądarki bez wiedzy użytkownika. Ponadto znalezione moduły zawierały funkcje zdalnej administracji, co maksymalizuje możliwości tego oprogramowania.
Za pomocą tego narzędzia napastnicy przeprowadzali operacje cyberszpiegowskie w misjach dyplomatycznych w krajach WNP, monitorując głównie ruch użytkowników.
Instalacja szkodliwego oprogramowania odbywa się głównie przy użyciu szkodliwego programu COMPfun, wcześniej zidentyfikowanego jako narzędzie grupy cybernetycznej Turla, lub poprzez podstawienie „czystego” oprogramowania podczas pobierania z legalnego zasobu na komputer użytkownika. Najprawdopodobniej oznacza to, że atakujący mają kontrolę nad kanałem sieciowym ofiary.
„Po raz pierwszy zetknęliśmy się z tego typu złośliwym oprogramowaniem, które pozwala nam ominąć szyfrowanie przeglądarki i pozostać niewykrytym przez długi czas. Poziom jego złożoności sugeruje, że twórcy Reduktora to poważni profesjonaliści. Często takie złośliwe oprogramowanie jest tworzone przy wsparciu rządowym. Nie mamy jednak dowodów na to, że Reductor jest powiązany z jakąkolwiek konkretną grupą cybernetyczną” – powiedział Kurt Baumgartner, wiodący ekspert ds. antywirusów w Kaspersky Lab.
Wszystkie rozwiązania firmy Kaspersky Lab pomyślnie rozpoznają i blokują program Reductor. Aby uniknąć infekcji, Kaspersky Lab zaleca:
- regularnie przeprowadzamy audyty bezpieczeństwa korporacyjnej infrastruktury IT;
- zainstaluj niezawodne rozwiązanie zabezpieczające z komponentem ochrony przed zagrożeniami internetowymi, które pozwala rozpoznawać i blokować zagrożenia próbujące przedostać się do systemu zaszyfrowanymi kanałami, takie jak Kaspersky Security for Business, a także rozwiązanie na poziomie przedsiębiorstwa, które wykrywa złożone zagrożenia na poziomie poziomie sieci na wczesnym etapie, na przykład Kaspersky Anti Targeted Attack Platform;
- podłącz zespół SOC do systemu wykrywania zagrożeń, aby miał dostęp do informacji o nowych i istniejących zagrożeniach, technikach i taktykach stosowanych przez atakujących;
- regularnie przeprowadzają szkolenia mające na celu poprawę kompetencji cyfrowych pracowników.
Źródło: 3dnews.ru