Спецпроекты

«Лаборатория Касперского» выявила кампанию кибершпионажа против сотрудников государственных и военных организаций по всему миру

Безопасность Стратегия безопасности Пользователю Маркет

По данным «Лаборатории Касперского», с июня 2019 г. по июнь 2020 г. группа Transparent Tribe, использующая для проведения кампаний кибершпионажа троянец удаленного доступа Crimson, атаковала более тысячи целей в 27 странах. В основном жертвы располагались в Афганистане, Пакистане, Индии, Иране и Германии.

Атаки начинались с распространения вредоносных документов Microsoft Office в фишинговых письмах. Чаще всего Transparent Tribe использует зловред .NET RAT, или Crimson. Это троянец удаленного доступа, который состоит из различных компонентов и позволяет атакующим производить на зараженных устройствах многочисленные действия: манипулировать файлами на дисках, создавать скриншоты, подслушивать и подглядывать через встроенные в устройстве микрофоны и камеры, а также красть файлы со съемных носителей.

Группа Transparent Tribe также известна как PROJECTM и MYTHIC LEOPARD. Она проводит масштабные кампании кибершпионажа с 2013 г., а «Лаборатория Касперского» следит за ее деятельностью с 2016 г. Несмотря на то что тактики и техники группы остаются неизменными в течение многих лет, атакующие постоянно совершенствуют свой основной инструмент: эксперты находят новые, ранее неизвестные компоненты троянца Crimson.

«Мы видим, что группа Transparent Tribe по-прежнему очень активна. С июня 2019 г. продолжается масштабная кампания, направленная на военных и дипломатов, в рамках которой для проведения вредоносных операций и совершенствования инструментов используется обширная инфраструктура. Группа продолжает инвестировать в свой главный инструмент, чтобы получать с его помощью конфиденциальные данные и шпионить за частными компаниями и государственными организациями. Мы полагаем, что активность Transparent Tribe останется столь же высокой, и будем продолжать следить за ее деятельностью», — сказал Юрий Наместников, руководитель российского исследовательского центра «Лаборатории Касперского».

Чтобы обезопасить инфраструктуру компании от целевых атак, «Лаборатория Касперского» рекомендует принять следующие меры:

предоставить сотрудникам SOC-центра доступ к самым свежим данным об угрозах, например к порталу Kaspersky Threat Intelligence Portal, на котором собраны данные о кибератаках, накопленные за более 20 лет работы «Лаборатории Касперского»;

для защиты конечных устройств, своевременного расследования и реагирования на инциденты внедрить EDR-решение, например Kaspersky Endpoint Detection and Response;

в дополнение к основным защитным продуктам внедрить решение корпоративного уровня, способное детектировать продвинутые угрозы на сетевом уровне на ранней стадии, такое как Kaspersky Anti Targeted Attack Platform;

регулярно проводить для сотрудников тренинги по информационной безопасности, например с помощью платформы Kaspersky Automated Security Awareness Platform, которая позволяет в том числе симулировать фишинговую атаку. Это дает возможность удостовериться в том, что сотрудники в полной мере овладели навыками распознавания фишинговых писем, которые очень часто используются при проведении кампаний кибершпионажа.