Két ismert malware képességeit ötvöző új, eddig ismeretlen kártevőre bukkant az F-Secure – közölte a portál. A rosszindulatú szoftver a MiniDuke és a Cosmu névre hallgató malware-ek fegyvertárával dolgozik – innen kapta a CosmicDuke nevet. A MiniDuke egy úgynevezett APT (Advanced Persistent Threat) trójai, amely 2013-ban tűnt fel először, és európai kormányzati ügynökségek, illetve a NATO ellen is bevetették, ahova hivatalos dokumentumoknak és fájloknak álcázva jutott be. A Cosmu valamivel kisebb kaliberű fenyegetés, amelyet hackerek leginkább adatlopásokhoz használnak – írja a Hwsw.hu.
Ezek alapján nem nehéz kitalálni a CosmicDuke működési elvét: phishing támadással, egy hivatalosnak tűnő e-mailen vagy megbízhatónak látszó fájlon keresztül fertőzi meg a rendszereket, amelyekben aztán gyakorlatilag minden tevékenységet megfigyel: egy keylogger program segítségével rögzíti a billentyűleütéseket, de a vágólap tartalmát is menti, sőt időnként még képernyőképet is készít. Mindezek mellett természetesen minden online csevegést, e-mailt és jelszót is megjegyez, illetve akár titkosítási tanúsítványokat és kulcsokat is képes ellopni – olvasható a Hwsw.hu portálon.
Kevés dolog van tehát, ami elkerülné a CosmicDuke figyelmét. A kártevő az összegyűjtött információkat távoli szerverekre továbbítja, ahol a támadók azokkal kedvük szerint rendelkezhetnek: beléphetnek a felhasználó online fiókjaiba, vagy szerverekhez férhetnek hozzá, tovább terjesztve a malware-t. Noha a rosszindulatú szoftver képességei korántsem páratlanok, az F-Secure szerint kifejezetten aggasztó, hogy elmosódni látszik a határ a „mindennapi” és az adott esetben kormányzati megbízásból, jelentős támogatással dolgozó hackerek fegyvertára között.
A biztonsági cég egyik tanácsadója, Sean Sullivan szerint több jel is arra mutat, hogy a CosmicDuke-ot megbízásra fejlesztették ki, hogy érzékeny információkat gyűjtsön egy kormányzati ügyfél számára. Noha konkrét célpont egyelőre nem ismert, bizonyítható, hogy a kártevőt célzott támadásokra szánták – vagy akár használják most is. A támadáshoz használt „csalidokumentum” ugyanis adott iparágakat célzó címeket tartalmaz, az egyik például az ukrán gázvezetékek biztonsági állapotát taglalja. Sullivan szerint a malware-ek ilyen ütemű fejlődésével rendkívül fontos, hogy az egyes vállalatok helyesen mérjék fel a rájuk vonatkozó biztonsági kockázatokat és biztosítsák a megfelelő védelmet adataik számára.
