„Kaspersky Lab“ užfiksavo kibernetinio šnipinėjimo kampanijos, žinomos kaip „Wild Neutron“ (taip pat kaip „Jripbot“ ir „Morpho“), pirmą kartą aptiktos 2013 m., aktyvumo atnaujinimą – iš pradžių nuo jos nukentėjo kelios garsios bendrovės, įskaitant „Apple“, „Facebook“, „Twitter“ ir „Microsoft“. Kai šie incidentai buvo paviešinti, kibernetinio šnipinėjimo operacijos organizatoriai pasitraukė į pogrindį. Tačiau 2015 m. vėl suaktyvėjo.
„Wild Neutron“ tikslas – gauti konfidencialios informacijos iš įvairių organizacijų. „Kaspersky Lab“ tyrėjai išsiaiškino, kad kibernetinio šnipinėjimo kampanijos aukomis tapo 11 šalių ir teritorijų vartotojai, konkrečiai Prancūzijoje, Šveicarijoje, Vokietijoje, Austrijoje, Slovėnijoje, Palestinoje, JAE, Kazachstane, Alžyre, Rusijoje ir JAV. Tarp nukentėjusių – juridinės firmos, investicinės bendrovės, organizacijos, dirbančios su kriptovaliuta „Bitcoin“, bendrovių grupės ir įmonės, įtrauktos į susijungimo ir įsisavinimo sandorius, IT bendrovės, sveikatos apsaugos įstaigos, nekilnojamojo turto bendrovės ir individualūs vartotojai.
Kenkėjiška programinė įranga patenka į aukų sistemas per „Flash Player“ pažeidžiamumus – užkrečiama taikant programas eksploitus, įkeltus į sukompromituotus tinklalapius. Šie eksploitai savo ruožtu pristato kenkėjiškos programinės įrangos, pasirašytos teisėtu sertifikatu, greičiausiai vogtu iš žinomo vartotojų elektros prekių gamintojo, kroviklį į užkrėstą sistemą. Galiojantis sertifikatas leidžia virusui užsimaskuoti ir būti nematomam kai kuriems antivirusiniams sprendimams. Būtent todėl šis sertifikatas dabar atsispindi.
Kibernetinio šnipinėjimo kampanijos organizatoriai įdėjo daug pastangų, kad apsaugotų savo kenkėjišką infrastruktūrą. Jiems pavyko paslėpti savo komandinio kontrolinio serverio adresą, kuriuo jie kontroliuoja visas užkrėstas sistemas. Be to, jiems pavyko pasiekti, kad serveris atnaujintų darbą netgi po išjungimo.
Iš „Wild Neutron“ tikslų analitikai sprendžia, kad už šios kampanijos nėra jokių valstybinių struktūrų ar specialiųjų tarnybų. O naudojami nulinės dienos pažeidžiamumai, tarpplatforminiai virusai ir aibė kitų techniškai tobulų technikų leidžia manyti, kad už atakų vykdymą atsakinga galinga grupuotė, galimai siekianti ekonominių interesų.
Atakuojančiųjų kilmė irgi lieka mįslė. Kai kuriuose kenkėjiško kodo egzemplioriuose sutinkama eilutė rumunų kalba „La revedere“ (liet. „viso gero“). Ši komanda naudojama komunikacijos su komandiniu kontroliniu serveriu sesijai baigti. Be to, „Kaspersky Lab“ specialistai aptiko komandą ir rusų kalba – lotyniškomis raidėmis parašytą žodį „sėkmingai“.
„Wild Neutron“ – patyrusi kibernetinė grupuotė, taikanti įvairias atakų technikas. Ji aktyvi nuo 2011 m. ir kiekvieną kartą taiko mažiausiai vieną nulinės dienos pažeidžiamumą, naudoja konkrečioms užduotims sukurtą kenkėjišką programinę įrangą ir „Windows“ bei „OS X“ sistemų instrumentus. Nepaisant to, kad praeityje ši grupuotė atakavo visame pasaulyje žinomas bendroves, iš esmės šie žmonės stengiasi neturėti ryšio su skambiais vardais ir uoliai slepia savo kenkėjiškas operacijas, todėl iki šiol nepavyko nustatyti jų kilmės. Stambias IT bendroves, šnipinėjimo programinės įrangos („FlexiSPY“) kūrėjus, islamistų forumus ir „Bitcoin“ bendroves atakuojanti grupė greičiausiai turi lanksčių ir neįprastų interesų“, – pasakoja Kostinas Raju, „Kaspersky Lab“ globalaus tyrimo ir grėsmių analizės centro vadovas.
„Kaspersky Lab“ produktai atpažįsta ir blokuoja kenkėjišką programinę įrangą, naudojamą „Wild Neutron“ atakose. Apsauga suveikia, kai aptinkami šie failai: Trojan.Win32.WildNeutron.gen, Trojan.Win32.WildNeutron.*, Trojan.Win32.JripBot.* и Trojan.Win32.Generic.
Išsamiai apie kibernetinio šnipinėjimo kampaniją „Wild Neutron“ galima sužinoti čia: https://securelist.com/blog/research/71275/wild-neutron-economic-espionage-threat-actor-returns-with-new-tricks .