ESET odha­lil ope­rá­ciu špe­hu­júcu ukra­jin­skú vládu a vojen­ské orga­ni­zá­cie

Lukáš Gašparík jr. / 4. august 2015 / Tools a produktivita

ESET, líder v pro­ak­tív­nej ochrane pred inter­ne­to­vými hroz­bami, ana­ly­zo­val akti­vity špi­onáž­nej sku­piny, ktorá stojí za celou rodi­nou škod­li­vého kódu s náz­vom Win32/Potao. Bol pou­žitý na špe­ho­va­nie ukra­jin­skej vlády, vojen­ských orga­ni­zá­cií a veľ­kej ukra­jin­skej spra­vo­daj­skej agen­túry.

Pro­stred­níc­tvom neho boli tak­tiež sle­do­vaní čle­no­via MMM, ide o pyra­mí­dovú hru veľmi obľú­benú v Rusku a na Ukra­jine. Podľa úda­jov ESETu bol tento škod­livý kód zachy­tený aj v Gru­zín­sku a Bie­lo­rusku. Potao je typický kyberš­pi­onážny trój­sky kôň, ktorý kradne heslá a cit­livé infor­má­cie z infi­ko­va­ných zaria­dení a zasiela ich na vzdia­lený ser­ver pou­ží­vaný útoč­ní­kom. Tento špi­onážny škod­livý kód sa po prvý raz obja­vil v roku 2011, odkedy ho pro­dukty ESETu dete­gujú. V čase písa­nia tohto textu sú však útoč­níci stále aktívni.

Infek­cia pre­bie­hala rozo­sie­la­ním phis­hin­go­vých e-mai­lov, ktoré obsa­ho­vali prí­lohu v podobe spus­ti­teľ­ného súboru. Aby bol prí­jemca moti­vo­vaný prí­lohu otvo­riť, súbor mal ikonu doku­mentu Mic­ro­soft Word. Po jeho otvo­rení sa obeti zobra­zil aj neškodný tex­tový doku­ment, naprí­klad doku­ment armén­skeho Minis­ter­stva práce a sociál­nych vecí alebo pozvánka na svadbu. V prí­pade cie­le­ného phis­hin­go­vého útoku na čle­nov MMM sa zobra­zil doku­ment s infor­má­ciou, že odo­sie­la­teľ by sa chcel stať čle­nom tejto pyra­mídy a rád by inves­to­val 500-tisíc rub­ľov. Hlavý tvorca MMM Ser­gej Mav­rodi na svo­jom blogu v roku 2012 uvie­dol, že nie­kto zasiela správy v jeho mene, ktoré obsa­hujú link na škod­livú stránku.

Na Ukra­jine pre­bie­hala infek­cia via­ce­rými spô­sobmi. Naprí­klad zasie­la­ním SMS správ, ktoré obsa­ho­vali link na škod­livú stránku. „Máme preto dojem, že išlo o veľmi cie­lený útok, keďže jeho tvor­co­via museli poznať celé mená a mobilné čísla svo­jich obetí,“ vysvet­ľuje Róbert Lipov­ský, ana­ly­tik škod­li­vého kódu zo spo­loč­nosti ESET. Čle­nom vlády, vojen­ských zlo­žiek a zamest­nan­com spra­vo­daj­skej agen­túry bol zasie­laný tak­tiež e-mail s prí­lo­hou vo forme spus­ti­teľ­ného súboru, ktorý mal ikonu doku­mentu Mic­ro­soft Word. Názvy pri­lo­že­ných doku­men­tov mali v obeti vzbu­diť záu­jem tieto prí­lohy otvo­riť. Išlo naprí­klad o doku­menty s náz­vom „Tabuľka väz­ňov Ozb­ro­je­ných síl Ukra­jiny“ alebo „Z vojen­skej služby oslo­bo­dené osoby“. Po ich otvo­rení sa zobra­zil tex­tový súbor, ktorý vyze­ral byť poško­dený.

Naša ana­lýza malwaru Potao odha­lila veľmi zau­jí­mavé pre­po­je­nie s rus­kou ver­ziou momen­tálne už neexis­tu­jú­ceho a popu­lár­neho open-source šif­ro­va­cieho soft­véru Tru­eC­rypt,“ hovorí Lipov­ský. Soft­vér stia­hnutý zo stránky truecryptrussia.ru obsa­ho­val škod­livý kód Win32/Potao. Nie každá ver­zia stia­hnu­tého šif­ro­va­cieho soft­véru však bola infi­ko­vaná. Jej škod­livá ver­zia sa stiahla len do zaria­dení vyty­po­va­ných osôb. „Toto je ďal­ším dôka­zom pre názor, že ope­rá­cia je vedená pro­fe­si­onál­nym gan­gom, ktorý selek­tívne útočí na vybrané obete,“ dodáva Lipov­ský.

Gang za ope­rá­ciou Potao uká­zal, že dlho­dobá a efek­tívna kyberš­pi­onáž môže byť usku­toč­nená vďaka pre­mys­le­ným tri­kom a sociál­nym inži­nier­stvom a to aj bez potreby využi­tia explo­itov. Kom­pletnú ana­lýzu Ope­rá­cie Potao náj­dete v doku­mente Ope­ra­tion Potao Express: Ana­ly­sis of a cyber-espi­onage tool­kit.

zdroj: eset.com

Pridať komentár (0)