Image
20.5.2016 0 Comments

Ukrajinských separatistov monitoruje kybernetická špionáž

Výskumníci bezpečnostnej spoločnosti ESET odhalili škodlivý kód, ktorý unikal pozornosti antimalvérových výskumníkov minimálne od roku 2008. Tento malvér, ktorý ESET deteguje ako Win32/Prikormka, sa používa na kyberšpionážne aktivity primárne zacielené na protivládnych separatistov samovoľne vyhlásenej Doneckej ľudovej republiky a Luhanskej ľudovej republiky.

Moduly tohto škodlivého kódu dokážu kradnúť dokumenty z infikovaného zariadenia a takisto z externých pamäťových jednotiek pripojených k počítaču cez USB, zaznamenávať stlačené klávesy, zvuky cez mikrofón počítača a aj hovory uskutočňované cez Skype, geograficky lokalizovať infikované zariadenie a zhromažďovať informácie o počítači (napríklad stav batérie v laptope alebo verziu operačného systému a používaný bezpečnostný softvér). Dokážu však zbierať aj heslá uložené v aplikáciách, napríklad v internetových prehliadačoch Google Chrome, Opera a Mozilla Firefox. Zameriavajú sa však aj na prehliadače Yandex a Rambler, ktoré sú populárne krajinách, kde sa hovorí po rusky. Z výskumu ESETu tiež vyplýva, že útočníci plynulo ovládajú ruský a ukrajinský jazyk a majú prehľad o aktuálnej politickej situácii na Ukrajine.

„Spolu s ozbrojeným konfliktom vo východnej Ukrajine sa vnútri krajiny udialo niekoľko cielených kyberútokov, takzvaných Advanced Persistent Threats. Objavili sme napríklad niekoľko kampaní, ktoré používajú teraz už neslávne známu rodinu škodlivého kódu BlackEnergy, ktorých výsledkom bol masívny výpadok elektrického prúdu. V operácii Groundbait je však použitý doposiaľ neznámy škodlivý kód,“ hovorí Róbert Lipovský, výskumník škodlivého kódu zo spoločnosti ESET.

Škodlivý kód použitý útočníkmi sa šíril väčšinou cielenými phishingovými e-mailmi, ktoré obsahovali návnadový dokument so zaujímavým názvom. Práve jeho názov mal obeť naviesť k tomu, aby dokument otvorila. Jej počítač sa následne infikoval. „Počas nášho výskumu sme videli množstvo príkladov, každý s identifikačným číslom, ktoré kampani pridelili jej tvorcovia, a takisto s viacerými zaujímavými názvami nástrahových dokumentov, ktoré mali vzbudiť pozornosť obete,“ opisuje Anton Čerepanov, výskumník škodlivého kódu zo spoločnosti ESET.

Celá operácia Groundbait alebo Prikormka bola ESETom pomenovaná podľa konkrétnej kampane, ktorú tento škodlivý kód použil na propagáciu. Jej súčasťou bol totiž dokument obsahujúci cenník návnad pre ryby, po anglicky Groundbait a po rusky Prikormka. „Výber tohto návnadového dokumentu samotnými útočníkmi sme doteraz nedokázali vysvetliť,“ vysvetľuje Lipovský. Ostatné návnadové dokumenty však mali názov spojený s aktuálnou geopolitickou situáciou na Ukrajine a s vojnou v Donbase. Napríklad „Od Rusa: Schéma demilitarizovanej zóny v Šyrokyne“ alebo „Od Rusa: Adresár ministerstiev – aktualizované“. Iné návnadové dokumenty naznačujú, že útočníci mohli cieliť aj na ukrajinskú nacionalistickú stranu Pravý sektor a niekoľko vysokopostavených osôb, ktoré však ESET nedokáže priamo identifikovať.

ESET dodnes identifikoval viac než 80 odlišných identifikačných čísel kampaní. Jedno identifikačné číslo je pritom väčšinou použité proti jednému cieľu, ktorým môže byť konkrétna osoba, organizácia alebo skupina ľudí.

Ako je pri cielených útokoch bežné, pomenovať zdroj tohto útoku je komplikované, pretože presvedčivé dôkazy sa hľadajú ťažko. Výskum ESETu ukázal, že útočníci operujú priamo z Ukrajiny. Nech už ide o kohokoľvek, je pravdepodobne rozumné predpokladať, že táto kyberšpionážna operácia je politicky motivovaná. „Akýkoľvek ďalší pokus priradiť tento útok k niekomu by bol čistou špekuláciou. Okrem separatistov sú medzi obeťami aj ukrajinskí vládni predstavitelia, politici a novinári. Treba brať do úvahy aj možnosť operácie pod falošnou vlajkou,” dodáva Lipovský.

Na Ukrajine sa v poslednom čase škodlivý kód používa pri viacerých vysokoprofilových útokoch. Len v decembri zostalo jeden a pol milióna obyvateľov západnej Ukrajiny bez elektrického prúdu následkom kybernetického útoku na spoločnosti distribuujúce elektrinu, pri ktorej útočníci použili škodlivý kód BlackEnergy. Na špehovanie ukrajinskej vlády, vojenských organizácií a veľkej ukrajinskej spravodajskej agentúry bol zase použitý škodlivý kód Win32/Potao.

Zobrazit Galériu
Autor: TS ESET

Nechajte si posielať prehľad najdôležitejších správ emailom

Mohlo by Vás zaujímať

Bezpečnosť

Hacking kreditky za šesť sekúnd. Zločinci môžu bez problémov získať všetky údaje o platobnej karte

08.12.2016 00:13

Vedci z Newcastle University prišli na spôsob, ako môžu zločinci za menej ako 6 sekúnd zistiť číslo, dátum platnosti a bezpečnostný kód na kreditnej alebo debetnej karte Visa. Je to vraj „nebezpečne ľ ...

Bezpečnosť

Čísla kreditiek už nelákajú. Kyberzločinci sa zameriavajú na lekárske záznamy, čísla sociálneho zabezpečenia a útoky DDoS.

07.12.2016 00:12

V dnešnej modernej a čoraz viac prepojenej dobe sú dáta používateľov, korporácií či štátnych inštitúcií pod neustále rastúcim tlakom. Tieto dáta predstavujú poklad v rukách kyberkriminálnikov a  trend ...

Bezpečnosť 2

Ovplyvnilo Rusko americké prezidentské voľby? Podľa expertov boli niektoré hlasovacie prístroje infikované

06.12.2016 00:16

Podľa kyberbezpečnostnej firmy FireEye ruská vláda počas kampane pred americkými prezidentskými voľbami nielen vykonávala hackerské útoky, ale využívala aj sociálne siete na ovplyvňovanie názorov. Šír ...

Žiadne komentáre

Vyhľadávanie

Kyocera - prve-zariadenia-formatu-a4-s-vykonom-a3

Najnovšie videá