19.7.2018 14:32 | Bezpečnosť

Špionážna kampaň na Ukrajine: Infikované sú stovky vládnych počítačov

Ilustračná snímka
V počítačoch našli tri rôzne špionážne vírusy. Zdroj: Dreamstime

Škodlivý kód kradne heslá, súbory z USB kľúčov, dokonca nahráva zvuk v okolí infikovaného počítača.

Počítačoví experti zverejnili analýzu špionážnej kampane, ktorej cieľom je získavanie citlivých informácií z vládnych inštitúcií na Ukrajine. Stovky počítačov pritom obsahovali okrem hlavného škodlivého kódu ešte ďalšie dva. Informácie o útokoch zverejnila bezpečnostná spoločnosť Eset na svojom webe.

Terčom sú ukrajinské a ruské systémy

Analýza bola sústredená na škodlivý kód označený názvom „Vermin“. Ten sa šíri prostredníctvom dôkladne pripravených e-mailových správ, ktoré cielia na ukrajinské vládne inštitúcie. Súčasťou nevyžiadaného e-mailu je aj nebezpečný dokument využívajúci zraniteľnosť CVE-2017-0199 v kancelárskych balíkoch Microsoft Office.

Miera rozšírenia malvéru na Ukrajine. fotogaléria / 2
Miera rozšírenia malvéru na Ukrajine. Zdroj: Eset

Uvedená zraniteľnosť bola pritom opravená ešte v apríli 2017. Potenciálne ohrozené sú len neaktualizované systémy.

ilustračná snímka.
Čítajte aj Českí tajní mali špehovacie systémy za milióny. Teraz nevedia, kde sú

V prípade, ak nič netušiaci používateľ otvorí nebezpečnú prílohu, tak prebehne niekoľko automatizovaných testov. Malvér najprv overí, či operačný systém využíva ukrajinské, respektíve ruské rozloženie klávesnice. Následne analyzuje verejnú IP adresu a zistí, či je lokalizovaná v uvedených krajinách, prípadne či nepatrí bezpečnostnej firme.

Keď sú všetky podmienky splnené, škodlivý kód vytvorí úlohu, ktorá ho spustí každých 10 minút. Tým sa zabezpečí jeho neustála činnosť na infikovanom počítači.

Malvér má množstvo funkcií

Po úspešnej infiltrácii sa spustí samotná špionážna činnosť. Malvér celkovo obsahuje 24 príkazov, ktoré útočníkom umožňujú napríklad monitorovať dianie na obrazovke, sťahovať ďalšie škodlivé kódy, či extrahovať heslá uložené v internetových prehliadačoch.

Jeho súčasťou je aj takzvaný keylogger, ktorý zachytáva všetky stlačené klávesy na klávesnici. Vďaka tomu získajú hackeri ďalšie prihlasovacie údaje slúžiace napríklad pre prístup k iným zariadeniam v lokálnej počítačovej sieti. Zaujímavým prvkom je aj využitie mikrofónu (ak je dostupný) pre záznam zvuku v okolí infikovaného počítača.

Aby toho nebolo málo, jedna z jeho funkcií dokáže kradnúť aj súbory uložené na vymeniteľných USB médiách. Malvér po pripojení média overí, či neobsahuje „zaujímavé“ názvy súborov. Ak áno, tak tieto dáta okamžite putujú na vzdialený server útočníkov.

Účel kampane nie je aktuálne známy

Výskumníci uviedli, že v infikovaných počítačoch našli okrem malvéru Vermin aj ďalšie dve špionážne infiltrácie známe pod názvami Sobaken a Quasar.

Quasar je open-source špionážny malvér obsahujúci pestrú paletu modulov určených na kradnutie citlivých dát a špehovanie. Naproti tomu, Sobaken je akousi okresanou verziou malvéru Quasar, ktorá navyše obsahuje pokročilé funkcie slúžiace napríklad na únik z chráneného prostredia (sandboxu). Všetky tieto hrozby využívajú rovnakú infraštruktúru, pričom dokonca komunikujú s rovnakým riadiacim serverom.

Hacker už len vstúpi do otvoreného systému a stiahne dáta, ktoré sú zaujímavé.
Čítajte aj Kód špionážneho nástroja pre iOS skoro unikol. Bývalý zamestnanec ho chcel...

V súčasnosti tak nie je známe, prečo sa v infikovaných počítačoch nachádzali tri podobné škodlivé kódy ovládané rovnakou skupinou útočníkov. Výskumníci sa však domnievajú, že najpravdepodobnejším vysvetlením je maximalizácia šancí pre úspešnú infiltráciu. Útočníci zrejme dúfali, že aspoň jeden z nich dokáže oklamať prípadný bezpečnostný softvér.

Nezodpovedanou otázkou zostáva aj to, kto stojí za uvedenou kampaňou a aký je jej hlavný účel. Isté je len to, že bezpečnostní experti doposiaľ identifikovali stovky infikovaných zariadení na Ukrajine.

Diskusia 0 Príspevkov