Kiberbűnöző támad kiberbűnözőre – a Hellsing nevet viselő, kisméretű, technikailag nem túl fejlett kém-csoportot érintett egy adathalász támadás, s ők az incidenst követően úgy döntöttek, hogy visszavágnak a támadójuknak. Ez kiberbűnözésben új trendet jelez, melynek az APT háború nevet adták. A Kaspersky szakértői akkor fedezték fel az esetet, amikor a Naikon, egy szintén az ázsiai-csendes-óceáni térségben tevékenykedő kiberkém csoportosulás tevékenységét vizsgálták. A szakértők észlelték, hogy a Naikon egyik célpontja felfigyelt a támadási kísérletre egy adathalász e-mailben, amely egy rosszindulatú csatolmányt tartalmazott. A célpont megkérdőjelezte az e-mail valódiságát a feladónál, és mivel a válasszal elégedetlen volt, nem nyitotta meg a csatolmányt. Nem sokkal később a célpont továbbított az eredeti feladónak egy üzenetet az ő saját vírusával. Ez volt az a lépés, amely elindította a Kaspersky Lab nyomozását, és amely a Hellsing APT csoport megtalálásához vezetett. Az ellentámadás módszeréből arra lehet következtetni, hogy a Hellsing csoport azonosítani akarta a Naikon csoportot, és információkat akart begyűjteni tőlük. A Hellsing japán mangasorozat, amit a Kaspersky ezzel a képregénnyel parodizál A Hellsing mélyebb elemzése során a Kaspersky Lab feltárta a nyomvonalát a rosszindulatú csatolmányokat tartalmazó adathalász e-maileknek, amelyeket azért készítettek, hogy kémvírust terjesszenek különböző szervezetek között. Ha az áldozat megnyitja a rosszindulatú csatolmányt, a rendszere egy olyan speciális backdoor programmal fertőződik meg, amely képes fájlok le- és feltöltésére, illetve saját maga frissítésére és eltávolítására. Megfigyelések szerint a Hellsing közel 20 szervezetet támadott meg. A támadók nagyon válogatósak voltak abból a szempontból is, hogy milyen célpontokat választanak: nagyrészt kormányzati és diplomáciai szervezetek támadását kísérelték meg. A Naikon csoport megtámadása a Hellsing részéről egyfajta “A birodalom visszavág” stílusú akciónak tekinthető. Korábban már tapasztaltuk, hogy APT csoportok véletlenül egymást támadták, amikor áldozatok címjegyzékét lopták el és mindenkinek küldtek e-mailt ezen listákról. Azonban, ha átgondoljuk a támadás célpontját és eredetét, valószínűbb, hogy ebben az esetben inkább egy APT az APT ellen típusú támadásról van szó.” – mondta Costin Raiu, a Kaspersky Lab globális kutató és elemző csapatának vezetője. Így védekezzünk a Hellsing támadások ellen: • Ne nyissunk meg számunkra ismeretlen feladótól érkező gyanús csatolmányokat. • Óvakodjunk az olyan, jelszóval védett tömörítvényektől, amelyek SCR vagy más végrehajtható fájlokat tartalmaznak. • Ha nem vagyunk biztosak a csatolmány eredetében, akkor próbáljuk megnyitni egy sandbox-ban. • Gondoskodjunk róla, hogy naprakész operációs rendszerrel rendelkezzünk, amely minden frissítést tartalmaz. • Frissítsünk minden népszerű alkalmazást, például a Microsoft Office-t, a Java-t, az Adobe Flash Player-t és az Adobe Reader-t. Forrás:http://www.hirado.hu/2015/04/15/hellsing-mikor-a-fagyi-visszanyal/
