Kaspersky Lab Globālā pētniecības un analīzes grupa ir publicējusi plašu pētījumu par tālpieejas rīku (RAT) Adwind — tā ir dažādplatformu, daudzfunkciju ļaunprogrammatūra, kas pazīstama arī ar nosaukumiem AlienSpy, Frutas, Unrecom, Sockrat, JSocket un jRat un tiek izplatīta, izmantojot vienu ļaunprogrammatūras pakalpojuma platformu. No 2013. līdz 2016. gadam veiktās izmeklēšanas rezultāti liecina, ka dažādas ļaunprogrammatūras Adwind versijas ir izmantotas uzbrukumos vismaz 443 tūkstošiem privātlietotāju, kā arī komerciālo un nekomerciālo organizāciju visā pasaulē. Gan platforma, gan ļaunprogrammatūra joprojām darbojas.

adwind-eng

2015. gada beigās Kaspersky Lab pētnieki uzzināja par neparastu ļaunprogrammatūru, kas tika atklāta mērķuzbrukuma mēģinājumā bankai Singapūrā. Ļaundabīga JAR datne bija pievienota mērķētas pikšķerēšanas e-pasta vēstulei, ko saņēma uzbrukumam pakļautais darbinieks bankā. Ļaunprogrammatūras plašās iespējas, tostarp saderība ar dažādām platformām, kā arī fakts, ka to nebija atklājis neviens antivīrusu risinājums, uzreiz piesaistīja pētnieku uzmanību.

Tālpieejas rīks Adwind

Izrādījās, ka organizācijai ir uzbrukts ar tālpieejas rīku Adwind — tās ir nopērkamas sāndurvis, kas pilnīgi uzrakstītas Java, tāpēc ir saderīgas ar dažādām platformām. Tās darbojas Windows, OS X, Linux un Android platformā, nodrošinot attālās darbvirsmas uzraudzības, datu vākšanas, datu eksfiltrācijas un citas iespējas.

Ja uzbrukumam pakļautais lietotājs atver pievienoto JAR datni, ļaunprogrammatūra pašinstalējas un mēģina sazināties ar komandvadības serveri. Šīs ļaunprogrammatūras funkciju saraksts ietver spēju:

  • vākt taustiņspiedienus,

  • zagt kešatmiņā saglabātās paroles un piesavināties datus no tīmekļa veidlapām,

  • veikt ekrānuzņēmumus,

  • fotografēt un veikt videoierakstu ar tīmekļkameru,

  • ierakstīt skaņu no mikrofona,

  • pārsūtīt datnes,

  • vākt vispārīgo sistēmas un lietotāja informāciju,

  • zagt kriptovalūtas maku atslēgas,

  • pārvaldīt īsziņas (ar Android),

  • zagt virtuālo privāto tīklu sertifikātus.

Lai gan to galvenokārt izmanto bezprincipiāli uzbrucēji un tā tiek izplatīta masveida surogātpasta kampaņās, ir gadījumi, kad Adwind ir lietota mērķuzbrukumos. 2015. gada augustā Adwind parādījās ziņās saistībā ar Argentīnas prokurora kiberizspiegošanu, kurš tika atrasts miris 2015. gada janvārī. Incidents ar Singapūras banku bija vēl viens mērķuzbrukuma piemērs. Ar tālpieejas rīka Adwind izmantošanu saistīto notikumu padziļināta izpēte parādīja, ka šie mērķuzbrukumi nav bijuši vienīgie.

Interesējošie upuri

Izmeklēšanas gaitā Kaspersky Lab pētniekiem bija iespēja izanalizēt gandrīz 200 nezināmu noziedznieku organizētu mērķētas pikšķerēšanas uzbrukumu, lai izplatītu ļaunprogrammatūru Adwind, un viņi varēja noteikt, ka lielākā daļa upuru strādāja rūpniecības, finanšu, tehnoloģiju, projektēšanas, mazumtirdzniecības, valdības, kravu pārvadājumu, tālsakaru, programmatūras, izglītības, pārtikas, ražošanas, veselības aprūpes, plašsaziņas līdzekļu un enerģētikas jomā.

No Kaspersky Security Network iegūtā informācija liecina, ka sešos mēnešos no 2015. gada augusta līdz 2016. gada janvārim novērotie 200 mērķētas pikšķerēšanas uzbrukumu piemēri izraisīja vairāk nekā 68 tūkstošu lietotāju saskari ar tālpieejas rīka Adwind paraugiem. Šajā laikposmā KSN reģistrētais uzbrukumiem pakļauto lietotāju ģeogrāfiskais sadalījums parāda, ka gandrīz puse no viņiem (49 %) dzīvoja šajās 10 valstīs: Apvienotajos Arābu Emirātos, Vācijā, Indijā, ASV, Itālijā, Krievijā, Vjetnamā, Honkongā, Turcijā un Taivānā.

Pamatojoties uz identificēto upuru profiliem, Kaspersky Lab pētnieki uzskata, ka Adwind platformas klienti ir iedalāmi šādās kategorijās: krāpnieki, kas vēlas pāriet nākamajā līmenī (izmantojot ļaunprogrammatūru sekmīgākai krāpšanai), negodīgi konkurenti, kiberalgotņi (algoti spiegi) un privātpersonas, kas vēlas izspiegot paziņas.

Draudu pakalpojums

Viena no galvenajām iezīmēm, kas atšķir tālpieejas rīku Adwind no citām komerciālajām ļaunprogrammatūrām, ir tā atklātā izplatīšana maksas pakalpojuma formā, kur klients veic maksājumu apmaiņā pret ļaunprogrammatūras lietošanu. Balstoties uz lietotāju aktivitātes izmeklēšanu iekšējā ziņojumu dēlī un dažiem citiem novērojumiem, Kaspersky Lab pētnieki lēš, ka 2015. gada beigās sistēmā bija aptuveni 1 800 lietotāju, kas to padara par vienu no lielākajām pašlaik pastāvošajām ļaunprogrammatūras platformām.

«Adwind platforma pašreizējā veidā ievērojami samazina minimālo profesionālo zināšanu apjomu, kas ir vajadzīgs potenciālajam noziedzniekam, kurš vēlas sākt darbību kibernoziedzības jomā. Pamatojoties uz mūsu izmeklēšanu saistībā ar uzbrukumu Singapūras bankai, mēs varam pateikt, ka to veikušais noziedznieks galīgi nav profesionāls hakeris, un mēs domājam, ka lielākajai daļai Adwind platformas klientu ir šāds datorzināšanu līmenis. Tā ir satraucoša tendence,» sacīja Kaspersky Lab galvenais drošības eksperts Aleksandrs Gostevs.

«Neraugoties uz daudziem ziņojumiem par šī rīka dažādām paaudzēm, ko drošības risinājumu piegādātāji ir publicējuši pēdējos gados, šī platforma joprojām ir aktīva un to apdzīvo visu veidu noziedznieki. Mēs veicām šo pētījumu, lai pievērstu drošības speciālistu aprindu un tiesībaizsardzības iestāžu uzmanību un veiktu nepieciešamos pasākumus platformas darbības pilnīgai izbeigšanai,» sacīja Kaspersky Lab Globālās pētniecības un analīzes grupas direktors Āzijas un Klusā okeāna reģionā Vitālijs Kamļuks.

Par saviem atklājumiem Adwind platformā Kaspersky Lab ir ziņojis tiesībaizsardzības iestādēm.

Lai pasargātu sevi un savu organizāciju no šī apdraudējuma, Kaspersky Lab iesaka uzņēmumiem pārskatīt nepieciešamību izmantot Java platformu un atspējot to visiem nepilnvarotiem avotiem.

Par Adwind ļaunprogrammatūras pakalpojuma platformu vairāk lasiet Securelist.com.

Uzziniet, kā tiek izmeklēti sarežģīti mērķuzbrukumi, http://www.youtube.com/watch?v=FzPYGRO9LsA.

Vairāk informācijas par kiberspiegošanas operācijām ir šeit https://apt.securelist.com/.