Image
19.7.2019 0 Comments

Skupina Ke3chang sa zamerala na diplomatov v Európe a Latinskej Amerike

Výskumníci spoločnosti ESET objavili nové verzie škodlivého softvéru spájaného s notoricky známou skupinou Ke3chang, pričom odhalili nový, predtým neznámy škodlivý softvér. Cieľom infiltrácií boli podľa zistení spoločnosti ESET predovšetkým diplomatické misie a vládne inštitúcie v Európe a Latinskej Amerike. Útočníci sa zamerali aj na Slovensko. Ich zámerom bola špionáž a zbieranie citlivých informácií. Nové zistenia sú výsledkom dlhoročného sledovania aktivít kybernetickej skupiny Ke3chang, ktorá pravdepodobne operuje z Číny.

Novoobjavený škodlivý kód, ktorý dostal pomenovanie Okrum, bol po prvý raz identifikovaný na prelome rokov 2016 a 2017. Išlo o tzv. „backdoor“, ktorého cieľom boli diplomatické misie a vládne inštitúcie v Belgicku, Slovensku, Brazílii, Chile a Guatemale. Navyše, v rokoch 2015 až 2019 spoločnosť ESET odhalila nové verzie známeho škodlivého kódu pripisovaného skupine Ke3chang.

Prvé podozrivé aktivity identifikovala spoločnosť ESET v európskych krajinách v roku 2015. Skupina stojaca za týmito aktivitami mala zrejme značný záujem o Slovensko, čo dokazuje vyšší počet cieľov nachádzajúcich sa na jeho území v porovnaní s inými krajinami. Dotknuté však boli aj ďalšie krajiny, ako napríklad Chorvátsko alebo Česká republika. Analýzou kódu zistili výskumníci spoločnosti ESET prepojenie so známymi verziami škodlivého softvéru skupiny Ke3chang, a túto novú verziu nazvali Ketrican.

Koncom roka 2016 objavili výskumníci nový, dovtedy neznámy škodlivý softvér, ktorý mal na Slovensku rovnaké ciele ako Ketrican v roku 2015. Tento nový kód nazvali Okrum a zistili, že bol aktívny počas roka 2017. „Indície sme začali spájať v momente, keď sme zistili, že Okrum bol použitý na zavedenie novej verzie infiltrácie Ketrican v roku 2017. Navyše sme zistili, že na niektoré ciele boli opakovane mierené viaceré útoky,“ vysvetľuje Zuzana Hromcová, výskumníčka škodlivého softvéru spoločnosti ESET. „Skupina zostáva aktívna aj v roku 2019. V marci tohto roka sme objavili ďalšiu verziu škodlivého softvéru Ketrican,“ dopĺňa Hromcová.

Vyšetrovanie spoločnosti ESET poskytuje viacero dôkazov, že aj za novoobjaveným škodlivým kódom Okrum stojí práve skupina Ke3chang. Okrem iného to potvrdzuje aj rovnaký modus operandi. Škodlivý softvér používaný skupinou Ke3chang je zväčša technicky jednoduchý a na zložitejšie činnosti používajú externé nástroje, čo sa zopakovalo aj v tomto prípade.

Hoci Okrum nie je technicky zložitý, jeho operátori využívajú rôzne techniky s cieľom vyhnúť sa odhaleniu, aby si tak udržali prístup k infikovanému systému čo najdlhšie. Využívajú napríklad metódy steganografie na skrytie škodlivého kódu a to vložením zašifrovaného backdooru do PNG obrázku. Po otvorení tohto súboru sa používateľovi zobrazí nevinne vyzerajúci obrázok, avšak moduly Okrumu v ňom vedia nájsť a spustiť škodlivý kód.

Útočníci sa tiež snažili kamuflovať sieťovú komunikáciu infiltrácie tým, že zaregistrovali zdanlivo legitímne domény, v snahe ukryť túto komunikáciu v bežnej komunikácii nakazeného používateľa. „Verzie škodlivého softvéru použité proti cieľom na Slovensku napríklad komunikovali cez domény napodobňujúce slovenský portál s mapami,“ hovorí Hromcová.

Spoločnosť ESET o incidente informovala relevantné CSIRT tímy.

Autor: eset

Nechajte si posielať prehľad najdôležitejších správ emailom

Mohlo by Vás zaujímať

Tlačové správy

CZ: Jednoduché spôsoby, ako zabezpečiť údaje na „fleške“

23.08.2019 19:02

Přenosné USB disky jsou užitečné jak v běžném, tak i profesionálním životě.  Data, které na ně ukládáme jsou často cenná a důvěrná. V zájmu jejich bezpečnosti je vhodné používat média uvážlivě a řádně ...

Tlačové správy

V letnej sezóne 2019 volajú Slováci najviac z Rakúska, píšu správy z Česka a v dátach stále vedie Chorvátsko

23.08.2019 18:39

Roamingové štatistiky za jún a júl 2019 ukazujú odlišné správanie zákazníkov ako v minulej sezóne. Dovolenkové destinácie sa opäť prejavili, no medziročný posun vo využívaní služieb prináša nové postr ...

Tlačové správy

Samsung spúšťa predaj svojich najnovších vlajkových lodí Galaxy Note10+ a Note10

23.08.2019 10:34

Všetci fanúšikovia populárneho smartfónu s perom už nemusia na nič čakať. Od dnešného dňa, piatku 23. augusta, si totiž môžu kúpiť najnovšie vlajkové lode radu Galaxy Note – smartfóny Note10+ a Note10 ...

q

Žiadne komentáre

Vyhľadávanie

eFocus_2019

Najnovšie videá