Image
4.9.2019 0 Comments

Útočníci kradnú inštitúciám vo Venezuele gigabajty tajných dát

V uplynulých dňoch experti ESETu objavili aktívnu kybernetickú špionáž zameranú na viaceré významné ciele v Latinskej Amerike. Útočníci si za svoj cieľ vybrali najmä venezuelské vládne inštitúcie (75 percent útokov), no zaujímajú ich aj tajné dokumenty Ekvádorskej armády (16 percent) a organizácii v Kolumbii (7 percent) a Nikarague (2 percentá).

Útočiaca skupina si na svoje aktivity vybrala turbulentné obdobie. V regióne totiž rastie napätie a vyhrotené sú aj vzťahy medzi Venezuelou a Spojenými štátmi americkými. Útočníci pritom každý týždeň ukradnú gigabajty tajný dokumentov. Využívajú na to ako techniky sociálneho inžinierstva, tak aj špecializované špionážne nástroje s názvom Machete (mačeta).

Z toho ako postupujú je tiež jasné, že majú roky skúsenosti s podobnými aktivitami v Latinskej Amerike. Vďaka nim zdokonalili svoju taktiku a detailne poznajú svoje ciele, čo im umožňuje infiltrovať sa do ich komunikácie, ale aj lepšie odhadnúť, ktoré dokumenty majú najväčšiu hodnotu.

Útočníci sa zameriavajú na rôzne typy súborov vrátane špeciálnych druhov, ktoré používa softvér geografických informačných systémov (GIS). Skupina sa osobitne zaujíma aj o súbory, ktoré opisujú navigačné trasy a určovanie polohy prostredníctvom vojenských geografických súradníc.

Ako funguje Machete
Skupina zasiela úzkemu okruhu svojich obetí veľmi konkrétne e-maily, ktoré sa menia v závislosti od toho, kto je adresátom. Aby zvýšili kredibilitu svojich správ, operátori Machete používajú ako prílohy skutočné súbory, ktoré už z daných organizácii v minulosti ukradli. Ako príklad môžu slúžiť „radiogramas“ (rádiogramy), utajené armádne dokumenty používané v rámci venezuelskej armády. Tie v kombinácii so správne zvoleným vojenským žargónom a etiketou slúžia ako základ pre veľmi presvedčivé phishingové e-maily.

Ak obeť otvorí prílohu, do počítača sa stiahnu škodlivé súbory. Tie potom na infikovanom zariadení dokážu sledovať aktivity používateľa, zaznamenávať stlačené klávesy, robiť screenshoty obrazovky, detegovať novo pripojené disky a kopírovať z nich súbory. Útočníkov okrem Microsoft Office dokumentov zaujímajú aj zálohované súbory na počítačoch obetí, kryptografické kľúče, vektorové obrázky a súbory geografických informačných systémov (topografické mapy, navigačné cesty a podobne).

Mapa s obeťami až na úroveň budovy
Jeden zo škodlivých komponentov dokonca zbiera údaje aj o okolitých Wi-Fi sieťach a zasiela ich do Mozilla Location Service API. Táto aplikácia poskytuje geolokačné koordináty, ak má k dispozícii aj iné zdroje informácií – napríklad Bluetooth vysielač, BTS stanice alebo Wi-Fi.

Z týchto dát dokáže malware vygenerovať zemepisnú šírku a dĺžku a použiť ich na vytvorenie URL adresy v Google mapách. Útočníkovi tak v prípade dostatku dát dokáže veľmi presne ukázať, kde sa obeť nachádza, a to s presnosťou až na úroveň konkrétnej budovy.

Infikované zariadenie taktiež obsahuje špeciálny kód, ktorý dovoľuje útočníkovi z zariadenia skopírovať dáta aj priamo, teda v prípade, že by k nemu získal fyzický prístup. Kód si pritom sám skontroluje, či sa v koreňovom adresári skenovaného zariadenia nachádza súbor s určeným názvom a ak áno, skopíruje a zašifruje si do skrytého priečinku celý obsah zariadenia.

Skupina operátorov, ktorá používa Machete hovorí španielsky a je veľmi aktívna. Funguje minimálne od roku 2010. Dokáže pritom úspešne útočiť aj napriek tomu, že už niekoľko výskumníkov vydalo technické opisy jej škodlivých kódov. Organizáciám, na ktoré cieli, sa nedarí aplikovať bezpečnostné politiky a zvýšiť bezpečnostné povedomie tak, aby ich zamestnanci týmto útočníkom nenaleteli.

Viac informácií o tomto útoku nájdete v dokumente spoločnosti ESET „Machete just got sharper“.

Zobrazit Galériu

Nechajte si posielať prehľad najdôležitejších správ emailom

Mohlo by Vás zaujímať

ITPro

Nástroj na tímovú komunikáciu a spoluprácu

04.09.2019 13:54

Možno sa vám bude nadpis článku zdať duplicitný. Prečo spomíname aj komunikáciu, bez ktorej tímová spolupráca predsa nemôže fungovať? Microsoft Teams je k dispozícii v bezplatnej verzii Freemium aj v  ...

ITPro

Praktická kryptológia (27. časť): SHA-2, SHA-3

04.09.2019 13:44

Týmto článkom ukončíme tému, v rámci ktorej sme sa venovali základným hašovacím algoritmom. Túto oblasť však ešte úplne neuzavrieme. K hašovacím algoritmom sa určite vrátime a to v súvislosti s ich pr ...

ITPro

Made in Slovakia: Predstavujeme zaujímavé startupy

04.09.2019 12:44

Kimbino - Aktuálne letáky, katalógy a zľavy Kimbino prináša online akciové letáky a katalógy  z vyše 32 krajín sveta, pričom len zo Slovenska pokrýva viac ako 120 obchodov. Sú prehľadné a jednoducho s ...

q

Žiadne komentáre

Vyhľadávanie

ACER_092019

Najnovšie videá

elearn