A támadások azt sugallják, hogy nem egy állam által szponzorált szereplőről van szó. Azonban a nulladik napi sérülékenységek kihasználása, a többplatformos malware-ek alkalmazása, valamint más technikai megoldások miatt a Kaspersky Lab kutatói úgy vélik, hogy ez egy igen erős, gazdasági előnyök megszerzése érdekében tevékenykedő kémszervezet.
A támadás
A közelmúltbeli támadások kezdeti fertőzési módszere egyelőre nem ismert, bár egyértelműnek tűnik, hogy egy ismeretlen Flash Player exploit csomagot használtak feltört weboldalakon keresztül. A kihasználó csomag egy malware telepítőt (droppert) helyez el az áldozatok számítógépén.
A Kaspersky Lab kutatói által megfigyelt támadásoknál a dropper legális hitelesítési tanúsítvánnyal volt aláírva. A tanúsítványok használata lehetővé teszi a rosszindulatú programok számára, hogy elkerüljék a védelmi megoldások általi felfedezést. Úgy tűnik, hogy a Wild Neutron által használt tanúsítványt – amelyet természetesen azóta visszavontak – egy népszerű szórakoztató elektronikai cégtől lopták. Miután bejutott a rendszerbe, a dropper telepíti a fő backdoor programot.
Rejtélyes eredet
A támadók eredete továbbra is rejtély. Egyes kódmintáknál a titkosított konfiguráció tartalmazza a "La revedere " (viszlát románul) kifejezést. A Kaspersky Lab kutatói ezen kívül még egy másik nem angol szóra is bukkantak, ez a "Успешно" , ami oroszul annyit jelent, hogy "sikeresen".
Az Apple, a Facebook, a Twitter, a Microsoft és más ismert nagyvállalatok voltak a Wild Neutron hackercsoport célpontjai két éve. Feltámadtak. Annak idején az eset nagy port kavart, aztán egy évig nem lehetett hallani róluk. 2013 végén és 2014 elején, majd 2015-ben a támadások folytatódtak. A csoport egy lopott, érvényes kódú hitelesítési tanúsítványt használt, és egy ismeretlen Flash Player kihasználó kód segítségével fertőzi meg a vállalatokat és a magánfelhasználókat, s bizalmas üzleti adatokat lop el tőlük. A Kaspersky Lab kutatói be tudták azonosítani a Wild Neutron célpontjait 11 országban. Ügyvédi irodák, Bitcoin-nal kapcsolatos vállalatok, beruházásokkal kapcsolatos szervezetek, IT cégek, egészségügyi intézmények, ingatlanforgalmazással foglalkozó vállalatok, fúziókkal és felvásárlásokkal foglalkozó nagyvállalatok csoportjai, továbbá egyéni felhasználók tartoznak közéjük.
