I februari avslöjades en cyberspionagekampanj mot regeringsdepartement och diplomater i en rad länder.
David Jacoby, säkerhetsforskare på Kaspersky
Kampanjen, som gick under namnen “SixLittleMonkeys” och “Microcin”, gick ut på att ett APT(avancerat långvarigt hot) som smugit sig in i offers datorer genom nätfiske, laddade ned trojaner till minnet på offrens datorsystem.
Nu har Kasperskys forskare avslöjat att denna kampanj faktiskt skedde med en helt ny typ av kodning – baserad på en API-lik (Application Programming Interface) arkitektur som gav den skadliga koden möjlighet att uppdatera sig till nya versioner av det angripna systemet, för att kunna verka under lång tid.
När Kasperskys forskare för första gången avslöjade SixLittleMonkeys för flera år sedan märkte de att angriparna använde en metod kallad steganografi – i vilken data skickas i ett dolt format som gör att det kan laddas ned obemärkt.
Efter att ha analyserat årets attackvåg kan forskarna dock konstatera att angreppen den här gången var betydligt mer avancerade än tidigare – med en kodningsteknik som enbart brukar återfinnas hos stora företag.
Angriparna använde sig nu av API:er – som obemärkt skapar en grund för framtida skadliga program och snabba uppdateringar av befintliga skadliga program i offrens nätverkssystem. På detta sätt har angriparna fått möjlighet att kontinuerligt ändra krypteringsalgoritmer och fortsätta sitt spionage under lång tid utan att upptäckas.
– Den här typen av API-lik programmering är väldigt ovanlig inom riktade kampanjer. Det visar på stor kunskap inom mjukvaruutveckling, och att personerna bakom dessa attacker är väldigt sofistikerade. De har helt enkelt tagit cyberspionage till en ny nivå, säger David Jacoby, säkerhetsforskare på Kaspersky.
