Image
20.5.2016 0 Comments

Ukrajinských separatistov monitoruje kybernetická špionáž

Výskumníci bezpečnostnej spoločnosti ESET odhalili škodlivý kód, ktorý unikal pozornosti antimalvérových výskumníkov minimálne od roku 2008. Tento malvér, ktorý ESET deteguje ako Win32/Prikormka, sa používa na kyberšpionážne aktivity primárne zacielené na protivládnych separatistov samovoľne vyhlásenej Doneckej ľudovej republiky a Luhanskej ľudovej republiky.

Moduly tohto škodlivého kódu dokážu kradnúť dokumenty z infikovaného zariadenia a takisto z externých pamäťových jednotiek pripojených k počítaču cez USB, zaznamenávať stlačené klávesy, zvuky cez mikrofón počítača a aj hovory uskutočňované cez Skype, geograficky lokalizovať infikované zariadenie a zhromažďovať informácie o počítači (napríklad stav batérie v laptope alebo verziu operačného systému a používaný bezpečnostný softvér). Dokážu však zbierať aj heslá uložené v aplikáciách, napríklad v internetových prehliadačoch Google Chrome, Opera a Mozilla Firefox. Zameriavajú sa však aj na prehliadače Yandex a Rambler, ktoré sú populárne krajinách, kde sa hovorí po rusky. Z výskumu ESETu tiež vyplýva, že útočníci plynulo ovládajú ruský a ukrajinský jazyk a majú prehľad o aktuálnej politickej situácii na Ukrajine.

„Spolu s ozbrojeným konfliktom vo východnej Ukrajine sa vnútri krajiny udialo niekoľko cielených kyberútokov, takzvaných Advanced Persistent Threats. Objavili sme napríklad niekoľko kampaní, ktoré používajú teraz už neslávne známu rodinu škodlivého kódu BlackEnergy, ktorých výsledkom bol masívny výpadok elektrického prúdu. V operácii Groundbait je však použitý doposiaľ neznámy škodlivý kód,“ hovorí Róbert Lipovský, výskumník škodlivého kódu zo spoločnosti ESET.

Škodlivý kód použitý útočníkmi sa šíril väčšinou cielenými phishingovými e-mailmi, ktoré obsahovali návnadový dokument so zaujímavým názvom. Práve jeho názov mal obeť naviesť k tomu, aby dokument otvorila. Jej počítač sa následne infikoval. „Počas nášho výskumu sme videli množstvo príkladov, každý s identifikačným číslom, ktoré kampani pridelili jej tvorcovia, a takisto s viacerými zaujímavými názvami nástrahových dokumentov, ktoré mali vzbudiť pozornosť obete,“ opisuje Anton Čerepanov, výskumník škodlivého kódu zo spoločnosti ESET.

Celá operácia Groundbait alebo Prikormka bola ESETom pomenovaná podľa konkrétnej kampane, ktorú tento škodlivý kód použil na propagáciu. Jej súčasťou bol totiž dokument obsahujúci cenník návnad pre ryby, po anglicky Groundbait a po rusky Prikormka. „Výber tohto návnadového dokumentu samotnými útočníkmi sme doteraz nedokázali vysvetliť,“ vysvetľuje Lipovský. Ostatné návnadové dokumenty však mali názov spojený s aktuálnou geopolitickou situáciou na Ukrajine a s vojnou v Donbase. Napríklad „Od Rusa: Schéma demilitarizovanej zóny v Šyrokyne“ alebo „Od Rusa: Adresár ministerstiev – aktualizované“. Iné návnadové dokumenty naznačujú, že útočníci mohli cieliť aj na ukrajinskú nacionalistickú stranu Pravý sektor a niekoľko vysokopostavených osôb, ktoré však ESET nedokáže priamo identifikovať.

ESET dodnes identifikoval viac než 80 odlišných identifikačných čísel kampaní. Jedno identifikačné číslo je pritom väčšinou použité proti jednému cieľu, ktorým môže byť konkrétna osoba, organizácia alebo skupina ľudí.

Ako je pri cielených útokoch bežné, pomenovať zdroj tohto útoku je komplikované, pretože presvedčivé dôkazy sa hľadajú ťažko. Výskum ESETu ukázal, že útočníci operujú priamo z Ukrajiny. Nech už ide o kohokoľvek, je pravdepodobne rozumné predpokladať, že táto kyberšpionážna operácia je politicky motivovaná. „Akýkoľvek ďalší pokus priradiť tento útok k niekomu by bol čistou špekuláciou. Okrem separatistov sú medzi obeťami aj ukrajinskí vládni predstavitelia, politici a novinári. Treba brať do úvahy aj možnosť operácie pod falošnou vlajkou,” dodáva Lipovský.

Na Ukrajine sa v poslednom čase škodlivý kód používa pri viacerých vysokoprofilových útokoch. Len v decembri zostalo jeden a pol milióna obyvateľov západnej Ukrajiny bez elektrického prúdu následkom kybernetického útoku na spoločnosti distribuujúce elektrinu, pri ktorej útočníci použili škodlivý kód BlackEnergy. Na špehovanie ukrajinskej vlády, vojenských organizácií a veľkej ukrajinskej spravodajskej agentúry bol zase použitý škodlivý kód Win32/Potao.

Zobrazit Galériu
Autor: TS ESET

Nechajte si posielať prehľad najdôležitejších správ emailom

Mohlo by Vás zaujímať

Bezpečnosť

Návrat k faxom? Sedem hlavných bezpečnostných trendov na rok 2017

17.01.2017 00:10

Podľa spoločnosti GFI Software budú v oblasti podnikovej IT bezpečnosti v roku 2017 pokračovať trendy minulého roka, ktorý môžeme v mnohých ohľadoch považovať za prelomový. Prudký nárast ransomvéru, k ...

Bezpečnosť

6 trendov najbližších rokov. Umelá inteligencia odhaľuje hackerov, fog computing a kolaborácia v cloude

13.01.2017 00:18

Rok 2016 jednoznačne potvrdil, že súčasný svet sa mení a digitalizácia sa dostáva do všetkých oblastí nášho života. Napríklad rozšírená realita umožnila milovníkom Pokémonov nachytať si svoje obľúbené ...

Bezpečnosť

Pravidlá ochrany súkromia budú platiť aj pre WhatsApp, Facebook Messenger, Skype, Gmail, iMessage a Viber

12.01.2017 00:12

Stále viac Európanov komunikuje elektronicky. Na dennej alebo takmer dennej báze používa mobil na telefonovanie a písanie správ 74 percent Európanov. Internet denne využíva 60 percent a e-maily posiel ...

Žiadne komentáre

Vyhľadávanie

ITSMF jar

Najnovšie videá