Η ομάδα κυβερνο-κατασκοπείας, που κρύβεται πίσω από το διάσημο malware υποκλοπών – καρτούν, χτυπά ξανά. Μετά το Μπάνι και το Μπαμπάρ το Ελεφαντάκι, οι κυβερνοεγκληματίες ανέπτυξαν άλλο ένα κακόβουλο λογισμικό – τον Κάσπερ. Αυτό το εργαλείο, που εξυπηρετεί το πρώτο στάδιο της επίθεσης, την αναγνώριση, μπορεί να στείλει μία αναλυτική έκθεση για τη μολυσμένη συσκευή του θύματος σε αυτόν που το ελέγχει.
Ο Κάσπερ ανιχνεύθηκε πρώτη φορά στα μέσα Απριλίου 2014, όταν μολύνθηκαν μερικά θύματα στη Συρία. Για την εξάπλωσή του, οι επιτιθέμενοι χρησιμοποίησαν 0-day exploit στην εφαρμογή Flash, εκμεταλλευόμενοι την ευπάθεια CVE-2014-0515. Αυτή η πληροφορία έχει βοηθήσει εγκληματίες του κυβερνοχώρου να έχουν πρόσβαση σε λεπτομέρειες σχετικά με το μολυσμένο μηχάνημα, ώστε να αποφασίσουν ποια θα είναι τα επόμενα βήματα – και όλα αυτά χωρίς να γίνονται αντιληπτοί.
«Είναι ενδιαφέρον ότι αυτά τα exploits φιλοξενήθηκαν σε ένα δικτυακό τόπο που ανήκει στο Υπουργείο Δικαιοσύνης της Συρίας, το jpic.gov.sy. Αυτή η ιστοσελίδα δημιουργήθηκε από την συριακή κυβέρνηση για να επιτρέψει στους πολίτες της Συρίας να υποβάλλουν καταγγελίες. Λειτουργεί ακόμα, αλλά έχει καθαριστεί. Παράλληλα, φιλοξενούνταν σε αυτή την ιστοσελίδα και ο κώδικας που ελέγχει τον Κάσπερ, ενώ είχαν αναπτυχθεί και plugins που εκτελούνταν στο μηχάνημα» εξηγεί ο Joan Calvet, Ερευνητής Malware της ESET.
Έχοντας παρατηρήσει και αναλύσει το κακόβουλο λογισμικό, οι ερευνητές της ESET μπόρεσαν να επιβεβαιώσουν ότι ο κωδικός ταιριάζει με αυτόν που χρησιμοποιείται στο Μπαμπάρ και στο Μπάνι. Αλλά ο Κάσπερ έχει προχωρήσει ένα βήμα παραπέρα, προσαρμόζοντας τη στρατηγική του ανάλογα με το ποιο antivirus χρησιμοποιεί το μηχάνημα-στόχος. Αυτός είναι ο λόγος για τον οποίο σχεδόν κανένα anti-virus ή λογισμικό διαδικτυακής ασφάλειας δεν έχει κατορθώσει να το εντοπίσει, εκτός από το ESET LiveGrid®. Παρά την πολυπλοκότητα του, το κακόβουλο λογισμικό χρησιμοποιήθηκε μόνο για να επιτεθεί σε πολύ λίγους ανθρώπους, όλους στη Συρία.
Το κακόβουλο λογισμικό επιτίθεται κατευθείαν στους επισκέπτες της ιστοσελίδας του Υπουργείου Δικαιοσύνης της Συρίας, αλλά και αυτούς που προέρχονται από άλλες τοποθεσίες. «Αυτό το επίπεδο κοινής χρήσης κωδικών μας οδηγεί στο ασφαλές συμπέρασμα ότι ο Μπάνι, ο Μπαμπάρ και ο Κάσπερ έχουν όλοι αναπτυχθεί από την ίδια οργάνωση» προσθέτει ο Calvet.
Περισσότερες πληροφορίες διατίθενται στο αναλυτικό άρθρο της Ομάδας Ερευνητών της ESET στο WeLiveSecurity.com «Casper: After Babar and Bunny, Another Espionage Cartoon».
