Un grup de atacatori, de limba coreeană, care a creat un cod capabil să identifice dispozitive Bluetooth conectate cu scopul de a fura informaţii sensibile, a fost descoperit recent de către experţii Kaspersky Lab.
Grupul APT ScarCruft este sponsorizat de stat şi, de obicei, vizează entităţi guvernamentale şi companii care au legături cu Peninsula Coreeană, aparent în căutare de informaţii de interes politic, relatează Agerpres.
În cea mai recentă activitate observată de Kaspersky Lab, sunt semne că acest grup evoluează, testând noi exploit-uri, manifestându-şi interesul pentru datele de pe dispozitivele mobile şi dovedindu-se foarte creativ în adaptarea instrumentelor şi serviciilor legitime la operaţiunile sale de spionaj cibernetic.
"Atacurile grupului încep, la fel ca şi cele ale multor altor grupuri APT, fie cu phishing, fie cu o compromitere strategică a site-urilor - atac cunoscut sub numele de "watering-hole' - folosind un exploit sau alte trucuri pentru a infecta anumiţi vizitatori. În cazul ScarCruft, urmează o infecţie, în primă fază, care poate ocoli Windows UAC (User Account Control), ceea ce îi permite să lanseze următoarea "încărcătură', cu privilegii mai mari, folosind cod lansat în mod normal în organizaţii pentru teste legitime de intruziune. Pentru a evita detecţia la nivel de reţea, malware-ul utilizează steganografia, ascunzând codul infectat într-un fişier imagine. Etapa finală a infecţiei implică instalarea unui backdoor bazat pe servicii de tip cloud, cunoscut sub numele de Rokrat. Backdoor-ul colectează o gamă largă de informaţii din sistemele şi dispozitivele victimei şi le poate transmite către patru servicii cloud: Box, Dropbox, pCloud si Yandex.Disk", menţionează sursa citată.
Cercetătorii Kaspersky Lab au descoperit, totodată, un interes crescut faţă de furtul de date de pe dispozitivele mobile, precum şi pentru programele malware care colectează informaţii despre dispozitivele Bluetooth, utilizând Windows Bluetooth.
Astfel, pe baza datelor de telemetrie, printre victimele acestei campanii se află societăţi de investiţii şi comerciale din Vietnam şi Rusia, care ar putea avea legături cu Coreea de Nord, şi entităţi diplomatice din Hong Kong şi Coreea de Nord.
De asemenea, producătorul de soluţii de securitate informatică precizează că o victimă cu sediul în Rusia, infectată de ScarCruft, a fost anterior descoperită printre victimele grupului DarkHotel, la rândul său vorbitor de limba coreeană.