Analitycy z Kaspersky Lab opublikowali obszerne badanie dotyczące narzędzia zdalnej administracji o nazwie Adwind – wieloplatformowego, wielofunkcyjnego szkodliwego programu rozprzestrzenianego w modelu ‘szkodliwe oprogramowanie jako usługa’.
Wyniki dochodzenia przeprowadzonego w okresie 2013-2016 sugerują, że różne wersje szkodnika Adwind (znanego również jako AlienSpy, Frutas, Unrecom, Sockrat, JSocket oraz jRat)
zostały wykorzystane w atakach na co najmniej 443 000 prywatnych użytkowników oraz organizacji komercyjnych i niekomercyjnych na całym świecie. Zarówno platforma jak i szkodliwe oprogramowanie nadal są aktywne.
Pod koniec 2015 r. badacze z Kaspersky Lab natknęli się na nietypowe szkodliwe oprogramowanie, które zostało wykryte podczas próby ataku ukierunkowanego na bank w Singapurze. Szkodliwy plik JAR został dołączony do phishingowej wiadomości e-mail otrzymanej przez pracownika banku, który stanowił cel ataku. Uwagę badaczy przykuły liczne funkcje szkodliwego oprogramowania, w tym możliwość działania na różnych platformach, oraz fakt, że nie został on wykryty przez żadne rozwiązanie antywirusowe.
Narzędzie zdalnej administracji Adwind
Okazało się, że organizacja została zaatakowana przy użyciu narzędzia zdalnej administracji Adwind, dostępnego w sprzedaży czarnorynkowej backdoora, który został napisany w języku Java, co czyni z niego oprogramowanie wieloplatformowe. Program może działać na platformach Windows, OS X, Linux oraz Android, umożliwiając zdalną kontrolę zainfekowanego urządzenia, gromadzenie danych, kradzież informacji itd.
Jeśli zaatakowany użytkownik otworzy załączony plik JAR, szkodliwe oprogramowanie zainstaluje się samodzielnie i będzie próbowało komunikować się z serwerem kontroli. Lista funkcji szkodliwego oprogramowania obejmuje:
- przechwytywanie znaków wprowadzanych z klawiatury,
- kradzież przechowywanych haseł oraz przechwytywanie danych z formularzy na stronach WWW,
- wykonywanie zrzutów ekranu,
- wykonywanie zdjęć i rejestrowanie filmów z użyciem podłączonej lub wbudowanej kamery internetowej,
- rejestrowanie dźwięku z podłączonego lub wbudowanego mikrofonu,
- przesyłanie plików,
- zbieranie ogólnych informacji o systemie oraz o użytkowniku,
- kradzież kluczy do portfeli zawierających kryptowalutę,
- zarządzanie wiadomościami SMS (dla Androida),
- kradzież certyfikatów VPN.
Chociaż jest on głównie wykorzystywany przez oportunistycznych cyberprzestępców i rozprzestrzeniany w przeprowadzanych na masową skalę kampaniach spamowych, Adwind był również stosowany w atakach ukierunkowanych. W sierpniu 2015 r. szkodnik ten pojawił się w doniesieniach dotyczących kampanii cyberszpiegowskiej skierowanej przeciwko argentyńskiemu prokuratorowi, który w styczniu 2015 r. został znaleziony martwy. Kolejnym przykładem ataku ukierunkowanego był incydent uderzający w bank singapurski. Głębsza analiza wydarzeń dotyczących wykorzystywania oprogramowania Adwind pokazuje, że nie były to jedyne ataki ukierunkowane, w których wykorzystano to narzędzie.
Cele ataków
Podczas dochodzenia badacze z Kaspersky Lab przeanalizowali niemal 200 przykładów ataków zorganizowanych przez nieznanych przestępców w celu rozprzestrzeniania szkodnika Adwind i zidentyfikowali branże, w których działa większość celów:
- produkcja,
- finanse,
- inżynieria,
- projektowanie,
- sprzedaż detaliczna,
- kręgi rządowe,
- branża stoczniowa,
- telekomunikacja,
- oprogramowanie,
- edukacja,
- żywność,
- służba zdrowia,
- media,
- energetyka.
Z informacji pochodzących z chmury Kaspersky Security Network wynika, że między sierpniem 2015 r. a styczniem 2016 r. ponad 68 000 użytkowników zetknęło się z próbkami szkodliwego oprogramowania zdalnej administracji wykorzystywanego w niemal 200 atakach Adwind.
Rozkład geograficzny atakowanych użytkowników (wg chmury KSN dla badanego okresu) pokazuje, że niemal połowa z nich (49%) znajduje się w następujących 10 krajach: Zjednoczone Emiraty Arabskie, Niemcy, Indie, Stany Zjednoczone, Włochy, Rosja, Wietnam, Hongkong, Turcja oraz Tajwan.
Na podstawie profili zidentyfikowanych celów badacze z Kaspersky Lab określili potencjalne kategorie klientów platformy Adwind:
- oszuści, którzy chcą wznieść się na kolejny poziom (wykorzystując szkodliwe oprogramowanie do bardziej zaawansowanych oszustw),
- nieuczciwa konkurencja,
- cybernajemnicy (szpiedzy do wynajęcia),
- osoby prywatne chcące szpiegować ludzi, których znają.
Zagrożenie jako usługa
Jedną z głównych cech, która odróżnia narzędzie Adwind od innych komercyjnych szkodliwych programów, jest sposób dystrybucji – Adwind jest oferowany otwarcie w postaci płatnej usługi, a „klient” wnosi opłatę za korzystanie ze szkodliwego narzędzia. W oparciu o analizę aktywności użytkowników na wewnętrznym forum tej cyberprzestępczej usługi, eksperci z Kaspersky Lab szacują, że pod koniec 2015 r. posiadała ona około 1 800 klientów. Czyni to z Adwinda jedną z największych znanych platform szkodliwego oprogramowania.
„Platformy takie jak Adwind sprawiają, że poziom profesjonalnej wiedzy wymaganej do przeprowadzania cyberataków spada do minimum. Bazując na naszej analizie największego ataku Adwinda – w singapurskim banku – możemy powiedzieć, że stojąca za nim osoba z pewnością nie była profesjonalnym cyberprzestępcą i uważamy, że podobnie jest z pozostałymi klientami tej platformy. Jest to bardzo niepokojący trend” – powiedział Aleksander Gostiew, główny ekspert ds. bezpieczeństwa IT, Kaspersky Lab.
– Mimo wielu artykułów opublikowanych na temat Adwinda przez różnych badaczy, platforma ta jest ciągle aktywna i przyciąga nowych przestępców z różnych kategorii. Przeprowadziliśmy nasze badanie, by zwrócić uwagę społeczności bezpieczeństwa IT oraz organów ścigania na nowy trend, gdzie szkodliwe oprogramowanie ma postać usługi, z której może skorzystać niemal każdy – skomentował Witalij Kamliuk, dyrektor Globalnego Zespołu ds. Badań i Analiz (GReAT) na teren Azji i Pacyfiku, Kaspersky Lab.
Eksperci z Kaspersky Lab poinformowali organy ścigania o swoich odkryciach dotyczących platformy Adwind.
W celu zwiększenia ochrony przed omawianym zagrożeniem eksperci z Kaspersky Lab zalecają przeanalizowanie konieczności korzystania z platformy Java oraz wyłączenie jej dla wszystkich nieautoryzowanych źródeł.