Kaspersky Lab informuje od zidentyfikowaniu nowej operacji cyberszpiegowskiej – Danti. Cyberprzestępcy stojący za tą grupą koncentrują się na wydobywaniu informacji z organizacji dyplomatycznych.Eksperci z Kaspersky Lab obserwują od kilku miesięcy falę ataków cyberszpiegowskich przeprowadzanych przez różne ugrupowania w regionach Azji i Pacyfiku oraz Dalekiego Wschodu.
Działania te mają jedną cechę wspólną – w celu zainfekowania ofiar szkodliwym oprogramowaniem przestępcy wykorzystują exploita dla luki CVE-2015-2545. Ten błąd w oprogramowaniu Microsoft Office został załatany pod koniec 2015 r., ale nadal jest wykorzystywany przez cyberprzestępców z ugrupowań Platinum, APT16, EvilPost oraz SPIVY. Teraz do tego grona dołączyła stosunkowo nowa i nieznana wcześniej grupa o nazwie Danti.
Exploit to szkodliwe narzędzie powszechnie wykorzystywane przez cyberprzestępców do ukradkowego infekowania maszyn szkodliwym oprogramowaniem. Kilka lat temu wykorzystywanie tzw. luk dnia zerowego (aktywnie stosowanych przez cyberprzestępców, jeszcze przed opublikowaniem odpowiedniej łaty przez producenta podatnego oprogramowania) było cechą charakteryzującą wyrafinowanych cyberprzestępców, ale sytuacja zmieniła się: dzisiaj exploity dla nieznanych luk w zabezpieczeniach wykorzystują w większym stopniu ugrupowania cyberszpiegowskie, ponieważ jest to stosunkowo tanie i zapewnia akceptowalny współczynnik infekcji.
Błąd CVE-2015-2545 pozwala atakującemu uruchomić dowolny kod przy użyciu specjalnie stworzonego pliku graficznego o formacie EPS. Wpływ exploita na atakowany system jest wysoki, ponieważ może on obejść stosowane przez system Windows metody ochrony: Address Space Layout Randomization (ASLR) i Data Execution Prevention (DEP). Danti to najnowsze spośród ugrupowań cyberprzestępczych, o których wiadomo, że wykorzystują tę lukę.
Członkowie grupy Danti są skoncentrowani głównie na instytucjach dyplomatycznych. Możliwe, że posiadają już pełny dostęp do wewnętrznych sieci w indyjskich organizacjach rządowych. Według danych z chmury Kaspersky Security Network, niektóre trojany ugrupowania Danti zostały wykryte również w Kazachstanie, Kirgistanie, Uzbekistanie, Birmie, Nepalu oraz na Filipinach. Aktywność grupy Danti została po raz pierwszy zauważona na początku lutego i trwa po dzień dzisiejszy.
Omawiany exploit jest dostarczany za pośrednictwem phishingowych wiadomości e-mail. Aby przyciągnąć uwagę potencjalnych ofiar, cyberprzestępcy z grupy Danti tworzą sfałszowane wiadomości podszywając się pod kilku indyjskich urzędników rządowych wysokiej rangi. Gdy omawiana luka zostanie wykorzystana, zostaje zainstalowany szkodliwy program Danti, który zapewnia cyberprzestępcom dostęp do zainfekowanej maszyny i możliwość pobrania poufnych danych.
Pochodzenie Danti jest nieznane, niemniej jednak badacze z Kaspersky Lab mają powody, aby przypuszczać, że grupa ta jest w pewien sposób powiązana z ugrupowaniami Nettraveler i DragonOK. Uważa się, że za ugrupowaniami tymi stoją chińskojęzyczni cyberprzestępcy.
Badacze z Kaspersky Lab zauważyli również ataki nieznanego pochodzenia z wykorzystaniem luki CVE-2015-2545 na niektóre organizacje w Tajwanie i Tajlandii. Ataki te otrzymały wewnętrzną nazwę SVCMONDR od nazwy trojana, który jest pobierany po wykorzystaniu luki. Trojan ten różni się od tego wykorzystywanego przez ugrupowanie Danti, ale ma pewne cechy wspólne zarówno z Danti jak i APT16 – innym ugrupowaniem cyberszpiegowskim, prawdopodobnie chińskiego pochodzenia.
– Spodziewamy się kolejnych incydentów z udziałem tego exploita i nadal monitorujemy nowe fale ataków oraz potencjalny związek z innymi działaniami cyberprzestępczymi w regionie. Fale ataków przeprowadzonych z wykorzystaniem tylko jednej luki w zabezpieczeniach sugerują dwie rzeczy: po pierwsze, cyberprzestępcy nie inwestują wielu zasobów w rozwój wyrafinowanych narzędzi, takich jak exploity dnia zerowego. Po drugie, współczynnik stosowania łat w atakowanych firmach i organizacjach rządowych jest niepokojąco niski. Zalecamy firmom, aby przywiązywały większą wagę do zarządzania łatami w swojej infrastrukturze IT, przynajmniej w celu zabezpieczenia się przed znanymi lukami – powiedział Aleks Gostiew, główny ekspert ds. bezpieczeństwa IT, Kaspersky Lab.