Image
5.8.2019 0 Comments

ESET: Venezuelská armáda čelí kybernetickému útoku, kradnú im gigabajty tajných dokumentov

Výskumníci bezpečnostnej spoločnosti ESET objavili práve prebiehajúcu kybernetickú špionáž zameranú na významné ciele v Latinskej Amerike. Viac než polovica z desiatok infikovaných počítačov patrí venezuelským vojenským silám. Medzi ciele však patria aj iné inštitúcie ako polícia, sektor vzdelávania a aj zahraničných vecí. Väčšina útokov (75 percent) sa odohráva vo Venezuele, ďalších 16 percent v Ekvádore, kde je cieľom armáda.

Útočiaca skupina každý týždeň kradne gigabajty tajných dokumentov. Tento útok je stále aktívny a odohráva sa v čase zvýšeného regionálneho ale aj medzinárodného napätia medzi Spojenými štátmi americkými a Venezuelou. Od opozičného povstania proti prezidentovi Nicolásovi Madurovi po sprisahania v armádnych zložkách, v prvej polovici roka 2019 sa stalo viacero udalostí, ktoré na Venezuelu zamerali medzinárodnú pozornosť.

Svoje obete dobre pozná
Skupina za spomenutým útokom používa sadu nástrojov s názvom Machete (mačeta). „Operátori Machete používajú veľmi efektívne techniky spear phishingu, čiže cieleného phishingu. Ich niekoľkonásobné útoky zamerané na krajiny v Latinskej Amerike im v priebehu niekoľkých rokov umožnili zozbierať spravodajské informácie a zdokonaliť taktiku.  Poznajú svoje ciele, ako sa dostať do ich bežnej komunikácie a ktoré dokumenty majú najvyššiu hodnotu,“ vysvetľuje výskumník spoločnosti ESET Matias Porolli. „Útočníci exfiltrujú rôzne typy súborov vrátane špeciálnych druhov, ktoré používa softvér geografických informačných systémov (GIS). Skupina sa osobitne zaujíma o súbory, ktoré opisujú navigačné trasy a určovanie polohy prostredníctvom vojenských geografických súradníc,“ dodáva Porolli.

Skupina zasiela svojim obetiam veľmi konkrétne e-maily, ktoré sa menia v závislosti od toho, kto je obeťou. Na podvedenie nič netušiacich obetí používajú operátori Machete skutočné súbory, ktoré predtým ukradli. Napríklad utajené armádne dokumenty. Sú medzi nimi „radiogramas“ (rádiogramy), tie sa používajú na komunikáciu v rámci venezuelskej armády. Útočníci tieto kradnuté dokumenty využívajú spolu so svojou znalosťou vojenského žargónu a etikety. Vďaka tejto kombinácii sa im darí vytvárať veľmi presvedčivé phishingové e-maily. Zasielajú ich malému počtu obetí, ktoré sa nemusia nikdy dozvedieť o tom, že na nich skupina zaútočila.

Po otvorení dokumentu priloženého k e-mailu sa do počítača stiahnu ďalšie škodlivé súbory. Všetky ESETom identifikované adresy, z ktorých sa sťahovali škodlivé kódy, boli buď na úložisku Dropbox alebo Google Docs. Škodlivé komponenty na infikovanom zariadení dokážu sledovať aktivity používateľa, zaznamenávať stlačené klávesy, robiť screenshoty obrazovky, detegovať novo pripojené disky a kopírovať z nich súbory. Útočníkov okrem Microsoft Office dokumentov zaujímajú aj zazálohované súbory na počítačoch obetí, kryptografické kľúče, vektorové obrázky a súbory geografických informačných systémov (topografické mapy, navigačné cesty a tak ďalej).

Mapa s obeťami až na úroveň budovy
Jeden z komponentov zbiera údaje o okolitých Wi-Fi sieťach a zasiela ich do Mozilla Location Service API. Táto aplikácia poskytuje geolokačné koordináty, ak má k dispozícii iné zdroje informácií – napríklad Bluetooth vysielač, BTS stanice alebo Wi-Fi. Z týchto dát dokáže malware vygenerovať zemepisnú šírku a dĺžku a použiť ich na vytvorenie URL adresy v Google mapách. Útočníkovi tak v prípade dostatku dát dokáže veľmi presne ukázať, kde sa obeť nachádza a to až na úroveň konkrétnej budovy.

Infikované zariadenie taktiež obsahuje špeciálny kód, ktorý dovoľuje z počítača skopírovať dáta aj fyzicky. Ak má útočník fyzický prístup k infikovanému zariadeniu, môže doň vložiť vymeniteľný disk. Škodlivý kód skontroluje, či sa v koreňovom adresári takéhoto disku nachádza súbor s konkrétnym názvom. Ak áno, je do skrytého priečinku disku skopírovaný a zašifrovaný celý obsah infikovaného zariadenia. Prítomnosť tohto škodlivého kódu teda môže indikovať, že útočník môže byť fyzicky prítomný v jednej z krajín, na ktorú cieli.

Skupina za nástrojmi Machete je španielsky hovoriaca a veľmi aktívna, funguje minimálne od roku 2010. Dokáže fungovať aj napriek tomu, že už niekoľko výskumníkov vydalo technické opisy jej škodlivých kódov. Organizáciám, na ktoré cieli, sa nepodarilo aplikovať bezpečnostné politiky a zvýšiť bezpečnostné povedomie tak, aby ich zamestnanci týmto útočníkom nenaleteli.

Zobrazit Galériu

Nechajte si posielať prehľad najdôležitejších správ emailom

Mohlo by Vás zaujímať

Tlačové správy

CZ: 5G umožní flexibilnú automatizáciu skladov

18.10.2019 17:49

V loňském roce bylo na celém světě v provozu 4000 robotických skladů. Podle prognóz budou do roku 2025 v 50 000 skladech na světě fungovat 4 miliony komerčních robotů, což je dvanáctinásobný nárůst v  ...

Tlačové správy

CZ: Red Hat predstavil najnovšiu verziu Red Hat OpenShift 4, umožní vývojárom v Kubernetes jednoduchšie inovovať

18.10.2019 17:43

Společnost Red Hat, Inc. (NYSE: RHT), přední světový poskytovatel řešení založených na open source technologiích, oznámila dostupnost Red Hat OpenShift 4.2, nejnovější verze podnikové platformy Kubern ...

Tlačové správy

HONOR 9X: Hra svetla a tieňov

18.10.2019 15:07

HONOR vždy napredoval v inovatívnom dizajne zadného krytu svojich smartfónov. HONOR View 20 prišiel po prvýkrát s dizajnom „Aurora Nano-texture“ a séria HONOR 20 bola zase ozdobená magickým „dynamický ...

Žiadne komentáre

Vyhľadávanie

Najnovšie videá

Dgitalna medicina
MANDAYIT 2019