Kybernetické útoky z Iránu a úloha ESETu pri narušení dvoch infostealerov
Začalo sa leto, a hoci sme všetci očakávali horúčavy, málokto si želal, aby boli až takéto. A vo svete vypukol ďalší ozbrojený konflikt – tentoraz medzi Izraelom a Iránom. Iránske kybernetické útoky však sledujeme už roky. Okrem Izraela sa zameriavajú aj na ďalších regionálnych aktérov. Jednu z takýchto kampaní si rozoberieme v tomto pravidelnom stĺpčeku.
Iránom podporovaná skupina BladedFeline sa v nedávnej kyberšpionážnej kampani zamerala na kurdských a irackých vládnych predstaviteľov. Nasadila pritom viacero škodlivých nástrojov, ktoré sme identifikovali v kompromitovaných systémoch. Ide o súčasť dlhodobého úsilia o udržanie a rozšírenie prístupu k vysokopostaveným úradníkom a vládnym inštitúciám v Iraku a kurdskom regióne. Najnovšia kampaň poukazuje na rastúcu sofistikovanosť tejto skupiny. Použila dva tunelovacie nástroje (Laret a Pinar), rôzne doplnkové utility, vlastný backdoor Whisper a škodlivý modul pre Internet Information Services (IIS) s názvom PrimeCache.
Naše zistenia naznačujú, že BladedFeline je pravdepodobne podskupinou známejšej iránskej skupiny OilRig, ktorá sa dlhodobo zameriava na vlády a podniky na Blízkom východe. BladedFeline sa snaží udržať nelegitímny prístup ku kurdským diplomatickým predstaviteľom, zneužíva telekomunikačného operátora v Uzbekistane a rozvíja prístup k irackým vládnym štruktúram.
Cieľom tejto skupiny je zjavne kyberšpionáž – udržiavanie strategického prístupu k zariadeniam vysokopostavených úradníkov. Diplomatické väzby Kurdistanu so západnými krajinami a jeho ropné zásoby robia z tohto regiónu atraktívny cieľ pre iránskych aktérov.
Z iného súdka – ESET sa v uplynulom mesiaci podieľal na dvoch významných globálnych operáciách zameraných na narušenie činnosti notoricky známych infostealerov Lumma Stealer a Danabot. Tieto medzinárodné akcie, realizované v spolupráci s bezpečnostnými expertmi, technologickými firmami a orgánmi činnými v trestnom konaní, výrazne obmedzili aktivitu oboch hrozieb. Infostealer je typ malvéru určený na krádež citlivých údajov – často slúži ako vstupná brána pre vážnejšie útoky vrátane ransomvéru. Ukradnuté prihlasovacie údaje sa predávajú na čiernom trhu a pre kybernetických zločincov sú cenným tovarom.
Operáciu proti Lumma Stealeru, ktorý fungoval ako služba, viedla spoločnosť Microsoft. Cieľom bolo vyradiť všetky známe riadiace servery používané za posledný rok, čím sa botnet stal do veľkej miery nefunkčným. ESET prispel detailnou technickou analýzou, spracovaním desiatok tisícov vzoriek a poskytol cenné štatistiky. Naše systémy umožnili sledovať vývoj Lumma Stealera, jeho riadiace servery a identifikovať „obchodných partnerov“. Lumma Stealer sa predával formou predplatného – od 250 do 1000 dolárov mesačne. Distribuoval sa prostredníctvom phishingu, falošného softvéru či iného škodlivého kódu.
Krátko po tejto operácii sme sa zapojili aj do akcie proti ďalšiemu infostealeru – Danabotu. Naši výskumníci, ktorí ho sledujú od roku 2018, poskytli technickú analýzu jeho infraštruktúry a pomohli identifikovať riadiace servery.
Danabot ponúkal partnerom nástroje ako administračný panel, ovládanie botov v reálnom čase a proxy server sprostredkúvajúci komunikáciu. Okrem krádeže dát sa využíval aj na šírenie ransomvéru a menej tradičné aktivity, napríklad útok DDoS na ukrajinské ministerstvo obrany po začiatku ruskej invázie.
Napriek znepokojujúcim správam z kybernetického priestoru tak prinášame aj tie pozitívne. Úspešné operácie proti kyberzločincom, na ktorých sme sa podieľali, sú dôkazom, prečo robíme to, čo robíme – aby sme chránili milióny ľudí po celom svete.
Opatrnosti však nikdy nie je dosť – ani v kybernetickom, ani v reálnom svete. Preto počas letnej dovolenky nezabúdajte okrem opaľovacieho krému ani na zásady bezpečného pripájania sa na nové siete Wi-Fi v dovolenkovej destinácii. Aj počas leta vám prajem príjemné a predovšetkým bezpečné surfovanie kybernetickým svetom.
