Një fushatë e re malware e njohur si DownEx është zbuluar se synon në mënyrë aktive institucionet qeveritare në Azinë Qendrore për spiunazh kibernetik, sipas një raporti nga Bitdefender. Malware u zbulua për herë të parë në vitin 2022 në një sulm shumë të shënjestruar që synonte nxjerrjen e të dhënave nga institucionet e huaja qeveritare në Kazakistan. Studiuesit më vonë vëzhguan një tjetër sulm në Afganistan. Interesante, studiuesit vunë në dukje se domeni dhe adresat IP të përfshira nuk shfaqen në ndonjë incident të dokumentuar më parë dhe malware nuk ndan ndonjë ngjashmëri të kodit me softuerin keqdashës të njohur më parë. Incidenti thekson sofistikimin e sulmeve kibernetike moderne, pasi kriminelët kibernetikë gjejnë metoda të reja për t'i bërë sulmet e tyre më të besueshme. Besohet se një grup i sponsorizuar nga shteti është përgjegjës për këto incidente, megjithëse sulmet nuk i janë atribuar ndonjë aktori të veçantë kërcënimi.

Bitdefender dyshon se një grup rus mund të jetë përgjegjës për sulmet. Një e dhënë që tregon origjinën e sulmit është përdorimi i një versioni të thyer të Microsoft Office 2016 të popullarizuar në vendet rusishtfolëse, i njohur si "SPecialisST RePack" ose "Russian RePack nga SPecialiST". Është gjithashtu e pazakontë të shohësh të njëjtën backdoor të shkruar në dy gjuhë, një praktikë e vërejtur më parë me grupin APT28 (me bazë në Rusi) me derën e tyre të pasme Zebrocy. Metoda fillestare e aksesit e përdorur nga grupi ka të ngjarë të jetë phishing email, me shumë gjasa që aktorët e kërcënimit përdorin teknika të inxhinierisë sociale për të dërguar një email phishing me një ngarkesë me qëllim të keq si vektor fillestar të aksesit.

Sulmi përdori një teknikë të thjeshtë të përdorimit të një skedari ikonë të lidhur me skedarët .docx për të maskuar një skedar të ekzekutueshëm si një dokument Microsoft Word kur viktima hap bashkëngjitjen. Dy skedarë u shkarkuan, një dokument joshjeje iu shfaq viktimës dhe një aplikacion keqdashës HTML me kodin e integruar që funksionon në sfond. Ngarkesa është projektuar për të vendosur komunikim me serverët e komandës dhe kontrollit.

Pas ekzekutimit, DownEx lëviz anash nëpër disqet lokale dhe të rrjetit për të nxjerrë skedarë nga dokumentet, imazhet dhe videot, skedarët e ngjeshur dhe PDF nga Word, Excel dhe PowerPoint. Kërkon gjithashtu çelësat e enkriptimit dhe skedarët e regjistrit të QuickBooks. DownEx nxjerr të dhënat duke përdorur një arkivë zip të mbrojtur me fjalëkalim, duke kufizuar madhësinë e çdo arkivi në 30 MB. Në disa raste, arkiva të shumta u ekfiltruan.

Për të parandaluar sulme si ky, studiuesit këshillojnë organizatat që të përqendrohen në zbatimin e një kombinimi të teknologjive të sigurisë kibernetike për të forcuar pozicionin e tyre të sigurisë. Teknologji të tilla si zbulimi i avancuar i malware me mësimin e makinerisë që mund të identifikojë skriptet me qëllim të keq, filtrimin e postës elektronike, sandbox për shpërthimin e skedarëve të dyshimtë, mbrojtjen e rrjetit që mund të bllokojë lidhjet C2 dhe aftësitë e zbulimit dhe reagimit që shtrihen përtej pikave fundore në rrjete.

Lajmi për llojin e ri malware të përfshirë në spiunazhin kibernetik vjen një ditë pasi SHBA njoftoi se kishte ndërprerë një nga grupet më të sofistikuara të malware të përdorura nga shërbimet e inteligjencës ruse, malware Snake. Qeveria amerikane ia atribuon malware-in Snake njësisë Turla brenda Qendrës 16 të Shërbimit Federal të Sigurisë së Federatës Ruse (FSB). Njësia Turla ka përdorur disa versione të malware Snake në 20 vitet e fundit për të vjedhur dokumente të ndjeshme nga qindra sisteme kompjuterike në të paktën 50 vende. Objektivat e saj përfshinin qeveritë, gazetarët dhe objektiva të tjerë me interes për Federatën Ruse, duke përfshirë vendet e NATO-s.

Pas pushtimit rus të Ukrainës në vitin 2022, aktivitetet e spiunazhit kibernetik nga Rusia ndaj Ukrainës dhe vendeve që mbështesin Ukrainën janë intensifikuar ndjeshëm. Qeveritë po përpiqen në mënyrë aktive të ndërpresin këto aktivitete dhe të parandalojnë grupet e sponsorizuara nga shteti që të kryejnë sulmet. Si përfundim, është e rëndësishme të krijohet ndërgjegjësimi tek të pambrojturit për këto fushata të reja malware që synojnë Azinë Qendrore dhe incidentet e spiunazhit kibernetik përpara se të jetë tepër vonë.

Lidhja e burimit