Wyszukaj w serwisie
biznes finanse technologie praca handel Eko Energetyka polska i świat
BiznesINFO.pl > Technologie > Szkodnik Tusk zagraża Polakom. Rosyjscy analitycy wydali ostrzeżenie
Maciej Olanicki
Maciej Olanicki 16.08.2024 16:25

Szkodnik Tusk zagraża Polakom. Rosyjscy analitycy wydali ostrzeżenie

haker
Fot. Unsplash/KeepCoding

Analitycy firmy Kaspersky Lab ostrzegają przed nowym atakiem przeprowadzonym przez rosyjskojęzycznych hakerów. Za pomocą fałszywej wersji popularnej w pewnych środowiskach usługi dystrybuowane jest złośliwe oprogramowanie. Jest ono wyspecjalizowane w pozyskiwaniu szczegółowych informacji o zainfekowanych komputerach z Windowsem i macOS-em. Dane są następnie przesyłane na serwery napastników w ramach skomplikowanej, wieloetapowej procedury, która dzięki swojej złożoności może nie zostać wykryta przez systemy antywirusowe. Trwająca kampania otrzymała od rosyjskich analityków kryptonim Tusk. 

Tusk atakuje komputery z Windowsem i macOS-em. Odpowiedzialność przypisuje się rosyjskim hakerom

Nazwa kampanii to Tusk (ang. kieł), jednak nie ma to związku z polskim premierem. Po rosyjsku ofiary cyberataków nazywa się potocznie mamutami, co ma nawiązywać do przedhistorycznych polowań na te zwierzęta w celu pozyskania łupów - ich kłów. Analitycy Kaspersky Lab dostrzegli, że złośliwe oprogramowanie zawiera wiele rosyjskojęzycznych zwrotów, na czele z nazwami komend. Jest to co prawda za mało, by dokonać jednoznacznej atrybucji, niemniej fakt wykorzystania przez napastników slangu rosyjskich hakerów znacząco zmniejsza margines błędu.

Atak zostaje przeprowadzony z użyciem fałszywej wersji usługi peerme.io, która służy do zarządzania organizacjami i projektami w sposób zdecentralizowany, z użyciem blockchaina MultiversX. Dzięki niej można organizować pracę zespołów, w których z różnych powodów kluczowa jest anonimowość i zdecentralizowana struktura, tak aby wyłączenie (np. w wyniku aresztowania administratora) jednego węzła nie doprowadziło do kolapsu całej komunikacji. Kampania Tusk wykorzystuje do ataków usługi podobne do peerme.io, jedna ze zidentyfikowanych to nieaktywna już tidyme.io.

Setki tysięcy Polaków dostanie ważną wiadomość. Uwaga, są oficjalne wytyczne

Tusk udaje prawdziwą aplikację, a w tle pobiera malware i przesyła dane o zainfekowanym komputerze

Na fikcyjnej stronie zamiast przycisku pozwalającego na utworzenie nowego projektu znajdziemy przycisk pobierania. W ten sposób do fałszywej usługi wysyłany jest tzw. user-agent, czyli skrócona informacja z przeglądarki o tym, z jakiego oprogramowania i sprzętu korzystamy. To jest Tuskowi potrzebne do zidentyfikowania, czy dostarczyć złośliwe oprogramowanie w wersji na komputery z Windowsem, czy też na Maki. Napastnicy zadbali o to, aby dostarczyć kilka wariantów malware, jednak wszystkie przechowywane są na serwerach Drobpox.

Zobacz: Dzwoni do Ciebie taki numer? Nie odbieraj i nie oddzwaniaj, możesz stracić pieniądze

Oprócz pobierania złośliwego pobierania interakcja z fałszywymi usługami kończy się także nakłanianiem ofiar do podłączenia do serwisów portfelów z kryptowalutami. Dysponowanie nimi jest z pewnością częste wśród tych internautów, którzy poszukują zdecentralizowanych platform do koordynacji pracy bazujących na łańcuchach blokowych. Napastnicy upewniają się nawet, czy nie zaatakowali przypadkiem komputerów-botów i przed całkowitym zainfekowaniem ofiary żądają… weryfikacji z użyciem mechanizmu CAPTCHA.

Charakterystyczna cecha ataków przypisywanych Rosjanom

Gdy weryfikacja zostanie zakończona, uruchamiany jest plik JavaScript, który jest downloaderem - programem służącym do pobierania kolejnych złośliwych programów. Wówczas hakerzy mają już w zasadzie pełną dowolność w tym, jakie malware trafi na nasz komputer. Gdy ofiara myśli, że korzysta z narzędzia TidyMe, w tle z kont na Dropboksie pobierane są kolejne złośliwe pliki wykonywalne. Analizy Kaspersky Lab wykazały, że napastnicy ograniczają się do działań, które w ostatnim czasie wielokrotnie okazywały się charakterystyczne dla kampanii przypisywanych Rosjanom.

W ramach kampanii Tusk na ogromną skalę zbierane są informacje o infekowanych maszynach. Nie są czynione żadne jeszcze szkody, nie dochodzi np. do zaszyfrowania pamięci dla okupu. Rosyjscy hakerzy mogą zbierać informacje o zainfekowanych na chybił trafił maszynach także po to, by zidentyfikować te, które mają duże znaczenie. Zwłaszcza że, realizowane są jeszcze podkampanie (m.in. fałszywe gry MMO), co potwierdza, że celem jest identyfikacja możliwie jak największej liczby maszyn.

Jeśli w kampanii Tusk zainfekowany zostanie np. komputer działający w oczyszczalni ścieków czy zarządzający innymi elementami infrastruktury krytycznej, napastnicy będą o tym widzieć. Ich działanie może mieć charakter zwiadowczy. Gdy przyjdzie odpowiedni moment, mogą zdecydować o unieruchomieniu konkretnych, krytycznych stacji roboczych, wcześniejszych ofiar Tuska, zamiast marnować zasoby na atak wycelowany w domowe pecety przeciętnych Kowalskich.

Powiązane
haker
Quiz sprawdzi, czy jesteś bezpieczny w internecie. Jeśli nie zdobędziesz 7/10 pkt., możesz mieć kłopoty
Każdy powinien używać tego narzędzia. Szwajcarzy udostępnili za darmo dla wszystkich
komputer
komputer
Produkty firmy Proton, na czele pocztą elektroniczną Proton Mail, cieszą się nie tylko dużą popularnością, ale też uznaniem użytkowników. Przekonał ich mocną kryptografią oraz tym, że dane są przechowywane na szwajcarskich serwerach. Tam dostęp służb przebiega według transparentnych procedur, musi mieć ważne uzasadnienie, a nadzór z użyciem narzędzi podobnych do Pegasusa wobec własnych obywateli jest nie do pomyślenia. Proton Mail nie jest jednak bezpieczną przystanią dla cyberprzestępców, lecz ważnym narzędziem pracy faktycznie umożliwiającym ochronę tajemnicy korespondencji, jak i tożsamości uczestników komunikacji. Teraz Proton zdecydował się na udostępnienie nowego narzędzia, z którego, podobnie jak z poczty, można korzystać całkowicie za darmo.
Czytaj dalej
Młoda kobieta oskarżona o “niemal doskonałe” oszustwa. "Socjal" ponad stan. Niesłychane, jak wpadła
policja
policja
Komenda Powiatowa Policji w Jarocinie opublikowała komunikat o ujęciu kobiety, którą oskarżono o dokonanie 19 oszustw. Według funkcjonariuszy mowa o “niemal doskonale zaplanowanym” sposobie działania. Zespół specjalizujący się w walce z przestępczością gospodarczą odniósł jednak sukces i 35-letnia mieszkanka gmina Żerków odpowie za wyłudzenie łącznie ok. 8 tys. zł. Grozi jej za to do 5 lat więzienia. Uwagę zwraca jednak to, w jaki sposób wpadła kobieta oskarżana o regularne wyłudzenia pieniędzy ze skarbu państwa. Udział w tym miał bowiem bank, którego była klientką.
Czytaj dalej