Symantec, o divizie Broadcom Software, a depistat recent un atac informatic sponsorizat de un stat asupra mai multor agenţii guvernamentale dintr-un stat asiatic. Firma de securitate a legat atacul de Billbug (alias Lotus Blossom, Thrip), un grup infracţional activ din cel puţin 2009.
Read the english version of this article
Grupul foloseşte o poartă de intrare cunoscută sub numele de Hannotog şi o alta cunoscută sub numele de Sagerunex. Printre victimele atacurilor se numără o autoritate de certificare, agenţii guvernamentale şi de apărare, aflate în diverse ţări din Asia.
Billbug este cunoscut ca axându-se pe ţinte din ţări asiatice, iar în cazul a cel puţin uneia din victime au fost compromise mai multe maşini din reţeaua ei.
Ţintirea recentă a unei autorităţi de certificare este remarcabilă, deoarece în cazul în care atacatorii ar fi reuşit, ar fi putut compromite reţeaua victimei pentru a accesa certificate pe care le-ar fi putut utiliza ca să semneze malware cu un certificat valid, astfel evitând detectarea de către maşinile victimelor. Totodată, certificatele compromise puteau fi folosite la interceptarea traficului HTTPS.
Au existat indicii care arată că atacatorii exploatează aplicaţii publice ca să capete acces iniţial la reţelele victimelor. Ei utilizează instrumente duale multiple, precum şi malware personalizat. Printre instrumentele duale folosite s-au numărat AdFind, un instrument public utilizat pentru Active Directory, Winmail, WinRAR şi Ping, un instrument disponibil gratuit online
Conform Symantec, Billbug este socotit un actor de spionaj, indiciu care arată că furtul de date este cea mai probabilă motivaţie a campaniei de atacuri. Capacitatea acestui grup de a compromite victime multiple simultan arată că el rămâne un operator cu resurse şi capabil de noi ameninţări.
Soluţiile Symantec sunt distribuite în România de compania SolvIT Networks.