2015 végén a Kaspersky Lab kutatói felfigyeltek egy szokatlan rosszindulatú programra, melyet egy szingapúri bank ellen elkövetett célzott adathalász támadási kísérletnél fedeztek fel. Egy rosszindulatú JAR fájlt csatoltak egy célzott adathalász e-mailhez, amellyel egy bank alkalmazottját támadták. A rosszindulatú program kiterjedt képességei – a több platformon való futtathatóság, valamint az a tény, hogy semmilyen vírusvédelmi megoldás nem mutatta ki – azonnal megragadták a kutatók figyelmét.
Az Adwind RAT
Kiderült, hogy a szervezetet az Adwind RAT-tal támadták meg, egy hátsó ajtóval, amely megvásárolható és teljes mértékben Java-ban írták, ami többplatformossá teszi. Fut Windows, OS X, Linux és Android platformokon, és többek között távolról vezérelhető és adatokat gyűjt.
Ha a megcélzott felhasználók megnyitják a csatolt JAR fájlt, a rosszindulatú program telepíti önmagát, és megpróbál kommunikálni a parancs és vezérlő szerverrel. A malware az alábbi funkciókra képes:
- billentyűleütések összegyűjtése
- tárolt jelszavak ellopása és webes űrlapokról származó adatok elfogása
- képernyőképek készítése
- képek és videók készítése a webkamera segítségével
- hang felvétele a mikrofonnal
- fájlok átvitele
- általános rendszer és felhasználói információk összegyűjtése
- kriptovaluta tárcákhoz tartozó kulcsok ellopása
- SMS-ek kezelése (Android)
- VPN tanúsítványok ellopása
Bár főként az opportunista támadók használják és kiterjedt spam kampányokkal terjesztik, voltak olyan esetek, amikor célzott támadásokban használták az Adwind-et. 2015 augusztusában az Adwin egy argentin ügyész elleni kiberkémedéssel kapcsolatban bukkant fel a hírekben, akit 2015 januárjában holtan találtak. A szingapúri bank elleni incidens egy másik példája volt a célzott támadásnak. Az Adwind RAT használatával kapcsolatos mélyebb elemzés megmutatta, hogy ezek a támadások nem egyedüliek voltak.
Fő célpontok
A vizsgálat során a Kaspersky Lab szakértői közel 200 adathalász támadást – amelyeket ismeretlen bűnözők szerveztek, hogy elterjesszék az Adwind vírust – elemeztek, valamint azonosítani tudták az általuk érintett iparágakat: a legtöbb célpont a gyártási, pénzügyi, mérnöki, tervezési, kiskereskedelmi, kormányzati, szállítási, távközlési, szoftvergyártási, oktatási, élelmiszergyártási, egészségügyi, média és energiatermelési területen tevékenykedett.
A Kaspersky Security Network (KSN) információi szerint a 200 célzott adathalász támadás eredményeképpen a 2015 augusztusa és 2016 januárja közötti hat hónapban több mint 68 000 felhasználónál észleltek Adwind RAT vírusmintákat.
A KSN által regisztrált adatokból kiderült, hogy ebben az időszakban a támadások célpontjainak közel fele (49%) az alábbi 10 országban volt található: Egyesült Arab Emírségek, Németország, India, Egyesült Államok, Olaszország, Oroszország, Vietnám, Hong Kong, Törökország és Tajvan.
Az azonosított célpontok profiljai alapján a Kaspersky Lab szakértői úgy vélik, hogy az Adwind platform használói az alábbi kategóriákba esnek: csalók, akik a következő szintre szeretnének lépni (malware-eket használnak a fejlettebb csalásokhoz), tisztességtelen versenytársak, kiberzsoldosok (bérelhető kémek), valamint magánszemélyek, akik szeretnének olyan emberek után kémkedni, akiket ismernek.
Fenyegetés mint szolgáltatás
Az egyik fő jellemző, amely megkülönbözteti az Adwind RAT vírust más kereskedelmi malware-ektől, hogy nyíltan terjesztik egy fizetős szolgáltatás formájában, ahol az “ügyfél” díjat fizet a rosszindulatú program használatáért. A Kaspersky Lab kutatói úgy becsülik, hogy körülbelül 1800 felhasználója volt a malware-nek 2015 végéig. Ez az egyik legnagyobb ma létező malware platformmá teszi az Adwind-et.
“Az Adwin platform jelenlegi állapotában jelentősen csökkenti a minimális szakmai ismereteket, amelyek ahhoz szükségesek, hogy egy potenciális bűnöző belépjen a kiberbűnözés területére. A szingapúri bank ellen elkövetett támadás kapcsán végzett vizsgálatunk alapján azt mondhatjuk, hogy az e mögött álló bűnöző messze áll a professzionális hackertől, és úgy gondoljuk, hogy az Adwind platform “ügyfelei” hasonló szintű tudással rendelkeznek. Ez egy aggasztó trend” – mondta Aleksandr Gostev, a Kaspersky Lab vezető biztonsági szakértője.
Annak ellenére, hogy több jelentés készült ezen eszköz különböző generációiról biztonsági cégek által az elmúlt években, a platform még mindig aktív és mindenféle bűnözők használják. Elvégeztük ezt a kutatást annak érdekében, hogy felhívjuk a biztonsági közösség és a bűnüldöző szervek figyelmét, és hogy megtegyük a szükséges lépéseket annak érdekében, hogy teljes mértékben megszakítsuk a működését.” – mondta Vitaly Kamluk, a Kaspersky Lab GReAT csapatának vezetője.
A Kaspersky Lab átadta az Adwind platformról tett megállapításait a bűnüldöző szerveknek.