Pressmeddelande -
F-Secure kartlägger CozyDuke – ett av de allvarligaste hoten mot företag och myndigheter
I en ny studie pekar F-Secure Labs ut hackerverktyget CozyDuke som ett fortsatt allvarligt hot för myndigheter och andra stora organisationer. CozyDuke är ett avancerat angrepp (advanced persistent threat, APT) som kombinerar flera taktiker och skadlig programvara för att underminera säkerheten och stjäla information från måltavlan.
– Många av målen för CozyDuke är västerländska myndigheter och institutioner, men vi ser också att det används mot mål i Asien, vilket är värt att notera. Det har en bredare grupp mål än andra liknande hot, säger F-Secures säkerhetsanalytiker Johan Jarl.
Den nya analysen kopplar samman CozyDuke med andra APT som legat bakom flera uppmärksammade angrepp, däribland de välkända hoten MiniDuke och OnionDuke. F-Secure Labs har kopplat dessa plattformar till flera stora angrepp, däribland riktade angrepp mot mot NATO och europeiska myndigheter. Även personer som använder en rysk utgångsnod för anonymiseringsnätverket TOR har drabbats1. CozyDuke använder i stor utsträckning samma infrastruktur som de övriga plattformarna och har komponenter som använder krypteringsalgoritmer liknande dem som används av OnionDuke. Även om dessa metoder är besläktade och delar på resurser, så har de konstruerats på lite olika sätt för att bli mer effektiva mot specifika mål.
CozyDuke och de besläktade angreppen tros ha sitt ursprung i Ryssland2. Johan Jarl konstaterar att det ännu inte finns tillräcklig evidens för att definitivt slå fast angriparnas rätta identitet och syften, men är övertygad om att det är samma personer som legat bakom angreppen med OnionDuke och MiniDuke.
– CozyDuke har spritts sedan 2011, men utvecklas ständigt. Slutsatsen är att vi har att göra med en grupp som satsat både tid och pengar på utveckling, vilket innebär att det nu är viktigt att fokusera på att avgöra vilka mål de har.
Angreppet inleds genom social manipulation, där medarbetare inom målorganisationen luras att göra något, som att öppna en bilaga i ett mail. Lockbetet är exempelvis en pdf- eller videofil som också öppnas, vilket innebär att CozyDuke kan infektera systemet utan att det märks. Därefter kan angriparen utföra en mängd åtgärder genom att använda olika tilläggsmoduler som t.ex. låter dem samla in lösenord och annan känslig information, utföra godtyckliga kommandon eller avlyssna hemlig kommunikation.
Rapporten noterar också att CozyDuke kontrollerar om det finns säkerhetsprogramvara installerad innan systemet infekteras och att vissa typer av säkerhetsprogram kan leda till att attacken avbryts. Rapporten, som skrivits av F-Secures hotanalytiker Artturi Lehtiö, är gratis och tillgänglig för nedladdning från F-Secures hemsida.
1 Källa: https://www.f-secure.com/weblog/archives/00002764.html
2 Källa: https://www.f-secure.com/weblog/archives/00002780.html
Mer information:
CozyDuke Malware Analysis
Threat Report H2 2014
För mer information, vänligen kontakta:
Johan Jarl, säkerhetsexpert, F-Secure
Mobil: 070-871 40 16
E-mail: johan.jarl@f-secure.com
Ämnen
- Datorer, datateknik, programvaror
Kategorier
- f-secure
- internetsäkerhet
- skadlig kod
- cozyduke
- mobilsäkerhet
- apt
F-Secure är ett finskt bolag som arbetar med säkerhet och integritet på nätet för både konsumenter och företag. Digital frihet är ledordet för allt företaget gör. Miljontals användare världen över använder F-Secures tjänster för att surfa säkert och spårlöst, skydda sin dator, surfplatta eller smartphone mot intrång eller för att lagra och dela sina digitala tillgångar på ett säkert sätt. F-Secure Internet Security är idag Sveriges mest använda säkerhetspaket och tilldelades 2014 utmärkelsen BEST PROTECTION av oberoende säkerhetsinstitutet AV-TEST.
F-Secure grundades 1988 i Helsingfors, Finland och är idag verksamt i över 100 länder och samarbetar med 200 operatörer världen över. Bolaget är listat på NASDAQ OMX Helsinki Ltd.
f-secure.com | twitter.com/FSecureSWE | facebook.com/f-secure
