Badacze z firmy Kaspersky odkryli nieznane wcześniej narzędzie szpiegujące, które zostało zidentyfikowane w indyjskich instytucjach finansowych oraz ośrodkach badawczych. Szkodnik, który występuje pod nazwą Dtrack, został prawdopodobnie stworzony przez ugrupowanie Lazarus i jest wykorzystywany do przesyłania oraz pobierania plików na systemy ofiar, przechwytywania znaków wprowadzanych z klawiatury i przeprowadzania innych działań typowych dla szkodliwego narzędzia
zdalnej administracji.
W 2018 roku badacze z firmy Kaspersky wykryli ATMDtrack – szkodliwe oprogramowanie stworzone w celu infiltracji indyjskich bankomatów oraz kradzieży danych dotyczących kart płatniczych. Podczas dalszego dochodzenia przy użyciu systemu Kaspersky Attribution Engine oraz innych narzędzi znaleziono ponad 180 nowych próbek szkodliwego oprogramowania, które posiadały podobną sekwencję kodu co ATMDtrack, jednak nie służyły do atakowania bankomatów. Ze względu na posiadane funkcje zostały zaklasyfikowane jako narzędzia szpiegujące – znane obecnie pod nazwą Dtrack. Obie odmiany wykazują podobieństwa nie tylko do siebie nawzajem, ale również do narzędzi przypisywanych cybergangowi o nazwie Lazarus, odpowiedzialnemu za liczne operacje cyberszpiegostwa i cybersabotażu, także w polskim sektorze finansowym.
Dtrack może być wykorzystywany jako zdalne narzędzie administracji, zapewniając cyberprzestępcom pełną kontrolę nad zainfekowanymi urządzeniami. Dzięki temu atakujący mogą wykonywać różne operacje, takie jak wysyłanie i pobieranie plików oraz uruchamianie kluczowych procesów.
Cele ataków cyberprzestępców wykorzystujących szkodnika Dtrack często posiadają słabe zasady bezpieczeństwa sieciowego oraz standardy haseł, jak również nie monitorują ruchu w organizacji. W przypadku udanej instalacji szkodliwe narzędzie potrafi wyszczególnić wszystkie dostępne pliki oraz uruchomione procesy, historię przeglądanych stron oraz adresy IP urządzeń – w tym informacje dotyczące dostępnych sieci oraz aktywnych połączeń. Nowo wykryte szkodliwe narzędzia są aktywne i nadal wykorzystywane w cyberatakach.
– Lazarus to dość nietypowe ugrupowanie sponsorowane przez struktury rządowe. Z jednej strony, podobnie jak wiele innych ugrupowań, koncentruje się na przeprowadzaniu operacji cyberszpiegostwa i sabotażu. Z drugiej strony posiada również udział w atakach, których celem jest kradzież pieniędzy. Jest to dość nietypowe w przypadku tak znanego cyberugrupowania, ponieważ operacje innych grup cyberprzestępczych nie wykazują motywów finansowych. Ogromna liczba wykrytych próbek szkodnika Dtrack pokazuje, że Lazarus stanowi jedno z najaktywniejszych zaawansowanych ugrupowań cyberprzestępczych, nieustannie rozwijając i usprawniając swoje mechanizmy. Przykład narzędzia zdalnego dostępu Dtrack pokazuje, że nawet jeśli wydaje się, że dane zagrożenie zniknęło, może odrodzić się w innym przebraniu w celu atakowania nowych celów. Nawet ośrodek badawczy lub organizacja finansowa działająca wyłącznie w sektorze handlowym i nieposiadająca powiązań rządowych powinna uwzględnić to, że może zostać zaatakowana przez zaawansowane cyberugrupowanie, i odpowiednio przygotować się na taką ewentualność – powiedział Konstantin Żykow, badacz ds. cyberbezpieczeństwa z firmy Kaspersky.
Produkty firmy Kaspersky skutecznie wykrywają i blokują szkodliwe oprogramowanie Dtrack.
Porady bezpieczeństwa
Eksperci z firmy Kaspersky zalecają następujące działania pozwalające uchronić się przed szkodnikami takimi jak Dtrack:
- Korzystaj z oprogramowania monitorującego ruch – takiego jak Kaspersky Anti Targeted Attack Platform (KATA).
- Stosuj sprawdzone rozwiązania bezpieczeństwa wyposażone w oparte na zachowaniu technologie wykrywania, takie jak Kaspersky Endpoint Security for Business.
- Przeprowadzaj regularny audyt bezpieczeństwa infrastruktury IT organizacji.
- Organizuj regularne szkolenia w zakresie bezpieczeństwa dla personelu.