Badacze z firmy Kaspersky opublikowali wyniki swojej analizy DarkUniverse – tajemniczej platformy cyberszpiegowskiej wykorzystywanej do przeprowadzania ataków ukierunkowanych przez przynajmniej osiem lat – od 2009 do 2017 r. Cele ataków zostały zidentyfikowane w krajach Bliskiego Wschodu i Afryki, a także w Rosji i na Białorusi. Szkodliwe oprogramowanie zostało przygotowane profesjonalnie i było rozprzestrzenianie poprzez spersonalizowane wiadomości phishingowe.
Platforma powstała w celu długookresowego gromadzenia informacji o ofierze, takich jak:
- znaki wprowadzane z klawiatury,
- korespondencja e-mail,
- zrzuty zawartości ekranu,
- pliki z określonych folderów,
- dane z serwerów zdalnych i zasobów sieciowych użytkowanych przez ofiarę.
– Przypadek DarkUniverse jest bardzo interesujący, ponieważ próbki szkodliwego kodu pochodzące z 2017 r. są zupełnie inne niż te, które były aktywne w 2009 r. To oznacza, że atakujący dysponowali wystarczającymi zasobami, by na bieżąco uaktualniać swój arsenał. Co więcej, unikatowe podobieństwa w kodzie pozwalają nam z dużym prawdopodobieństwem podejrzewać, że autorzy DarkUniverse byli powiązani z cybergangiem ItaDuke, którego aktywność po raz pierwszy wykryto w 2013 r. Cyberprzestępcy z grupy ItaDuke wykorzystywali szkodliwe narzędzia infekujące systemy poprzez luki związane z przetwarzaniem plików PDF, a adresy URL cyberprzestępczych serwerów kontroli były przechowywane na kontach w serwisie Twitter – powiedział Aleksander Fiedorow, analityk szkodliwego oprogramowania w firmie Kaspersky.