Prosty szkodliwy program EyePyramid wykorzystany do kradzie偶y danych m.in. os贸b wysokiego szczebla we W艂oszech - komentarz Kaspersky Lab

W ostatnich dniach pojawi艂a si臋 informacja o cyberataku m.in. na osoby wysokiego szczebla we W艂oszech - prezesa Europejskiego Banku Centralnego i dw贸ch by艂ych w艂oskich premier贸w. Dosz艂o do kradzie偶y osobistych informacji, a analiza przeprowadzona przez ekspert贸w z Kaspersky Lab wykaza艂a, 偶e ataki zosta艂y przeprowadzone przez niezwykle nieostro偶nych amator贸w z u偶yciem prostego szkodliwego programu o nazwie "EyePyramid". Aresztowano ju偶 dw贸ch podejrzanych.

W trakcie analizy eksperci z Kaspersky Lab zidentyfikowali 18 pr贸bek szkodliwych program贸w zwi膮zanych z atakami EyePyramid - wi臋kszo艣膰 z nich powsta艂a w okresie 2014-2015. Szkodniki posiadaj膮 funkcje kradzie偶y danych i wysy艂ania ich poprzez wiadomo艣ci e-mail oraz inne kana艂y. Atakuj膮cy gromadz膮 wiele danych z komputer贸w ofiar i wysy艂aj膮 je na w艂asne serwery. Samo szkodliwe oprogramowanie jest nieskomplikowane i nic nie wskazuje na to, 偶e zosta艂o wyposa偶one w wyrafinowane funkcje, kt贸re mog艂yby wi膮za膰 to zagro偶enie z zaawansowanym cybergangiem ProjectSauron (tego typu podejrzenia pojawi艂y si臋 w niekt贸rych przekazach medialnych). Z du偶ym prawdopodobie艅stwem mo偶na stwierdzi膰, 偶e ataki EyePyramid nie s膮 w 偶aden spos贸b powi膮zane z dzia艂aniami grupy ProjectSauron.

Wed艂ug statystyk Kaspersky Lab szkodliwe programy EyePyramid zosta艂y wykryte na oko艂o 16 komputerach, z kt贸rych 11 znajduje si臋 we W艂oszech. Mimo 偶e szkodliwe narz臋dzia wykorzystane przez dwoje uj臋tych podejrzanych - Giulio Occhionero oraz Francesc臋 Mari臋 Occhionero - nie nale偶膮 do skomplikowanych ani trudnych do wykrycia, atakuj膮cym uda艂o si臋 zainfekowa膰 wiele ofiar, 艂膮cznie z osobami wysokiego szczebla, co zaowocowa艂o kradzie偶膮 dziesi臋ciu gigabajt贸w danych.

Cyberprzest臋pcy nie przywi膮zywali du偶ej wagi do zacierania w艂asnych 艣lad贸w - w trakcie atak贸w korzystali z adres贸w IP powi膮zanych z ich w艂asn膮 firm膮, rozmawiali o ofiarach przez telefon oraz z u偶yciem komunikator贸w internetowych, a gdy zostali przy艂apani, pr贸bowali usuwa膰 materia艂 dowodowy. 艢wiadczy to o niezwykle amatorskim podej艣ciu atakuj膮cych, co nie zmienia faktu, 偶e uda艂o im si臋 ukra艣膰 ogromn膮 ilo艣膰 informacji od swoich ofiar.

Przyk艂ad ten - podobnie jak niekt贸re wcze艣niejsze operacje cyberprzest臋pcze - pokazuje, 偶e atakuj膮cy nie musz膮 korzysta膰 z zaawansowanych techniczne narz臋dzi, by prowadzi膰 d艂ugotrwa艂e i skuteczne operacje szpiegowskie. W sprawie atak贸w EyePyramid prawdopodobnie najbardziej zaskakuj膮cy jest fakt, 偶e podejrzani cyberprzest臋pcy dzia艂ali przez wiele lat, zanim zostali schwytani - powiedzia艂 Costin Raiu, dyrektor Globalnego Zespo艂u ds. Bada艅 i Analiz (GReAT), Kaspersky Lab.

Produkty Kaspersky Lab wykrywaj膮 pr贸bki powi膮zane z atakami EyePyramid pod nast臋puj膮cymi nazwami:


  • Trojan-Downloader.MSIL.Agent.asi
  • Trojan-Downloader.MSIL.Agent.axx
  • Trojan-Dropper.Win32.Demp.fly
  • Trojan-Dropper.Win32.Injector.pxn
  • Trojan-Dropper.Win32.Injector.xcn
  • Trojan-PSW.Win32.Ruftar.bael
  • Trojan.MSIL.Agent.fdww
  • Trojan.Win32.AntiAV.choz
  • Trojan.Win32.AntiAV.ciok
  • Trojan.Win32.AntiAV.ciyk
  • Virus.Win32.PolyRansom.k
  • not-a-virus:PSWTool.Win32.NetPass.aku
Szczeg贸艂owy raport po艣wi臋cony atakom EyePyramid jest dost臋pny dla klient贸w us艂ugi Kaspersky Intelligence Services.

殴ród艂o: Kaspersky Lab