PMI_092022 PMI_092022 PMI_092022

Stredobodom pozornosti kybernetických hrozieb je Irán: Pre svoje nové špionážne nástroje

Bezpečnosť
0

Aj tento mesiac budem pokračovať informáciami zo sveta hackerských operácií, ktoré majú na svedomí vlády alebo sú súčasťou politiky či ­geopolitiky. Žiaľ, tento rok prináša aj v našom Labe predovšetkým zistenia tohto druhu. A keď si občas zapnete správy alebo surfujete spravodajským online svetom, niet sa čomu čudovať.

SAMSUNG_112022_M Advertisement

Lukáš Štefanko, náš výskumník v Košiciach, nedávno odhalil novú verziu androidového malvéru FurBall, použitú v kybernetickej kampani Domestic Kitten z dielne skupiny APT-C-50. Táto kampaň je známa pre vykonávanie mobilných sledovacích operácií zameraných na iránskych občanov. Nová verzia spajvéru FurBall cieli práve na tieto obete. Od júna 2021 je škodlivý softvér šírený v maskovaní za aplikáciu na prekladanie jazyka prostredníctvom falošnej iránskej stránky, ktorá sa tvári, že poskytuje preložené články, časopisy a knihy.

Nová verzia spajvéru FurBall má tú istú sledovaciu funkciu ako predošlé varianty. Hlavným účelom vynovenia malvéru je preto pravdepodobne snaha vyhnúť sa detekcii bezpečnostným softvérom. V prípade riešenia od spoločnosti ESET však ide o neúspešnú snahu. Produkty ESET aj naďalej zachytávajú túto hrozbu ako Android/Spy.Agent.BWS. Androidový malvér FurBall použitý od začiatku kampaní bol vytvorený podľa vzoru komerčného nástroja na špehovanie KidLogger.

Analyzovaná vzorka FurBall si pýta iba jedno sledovacie povolenie, a to na prístup ku kontaktom. Dôvodom môže byť snaha zabrániť jeho odhaleniu. Na druhej strane však môže ísť o znak toho, že ide iba o úvodnú fázu kybernetickej operácie, ktorá predchádza spearphishingovému útoku cez SMS správy. Keby útočníci rozšírili povolenia pre aplikáciu, škodlivý softvér by dokázal vynášať aj iné druhy dát zo skompromitovaných mobilov, ako napríklad SMS správy, polohu zariadenia či nahrávky hovorov.

A aj druhý náš objav z minulého mesiaca sa týka Iránu. Zaoberal sa ním náš montrealský výskumník Matías Porolli. Tentoraz analyzoval doposiaľ nezdokumentované backdoory a špionážne nástroje nasadené v Izraeli APT skupinou POLONIUM. Podľa telemetrie spoločnosti ESET cielila skupina POLONIUM na viac ako desiatku organizácií v Izraeli najneskôr od septembra 2021. Najnovšie aktivity tejto skupiny zaznamenal ESET v septembri tohto roka. Medzi odvetvia, na ktoré sa útočníci zamerali, patria informačné technológie, strojárstvo, právo, komunikácie, marketing, médiá, poisťovníctvo a sociálne služby. POLONIUM je špionážna skupina, ktorú prvýkrát odhalila spoločnosť Microsoft v júni 2022. Podľa Microsoftu má skupina sídlo v Libanone a koordinuje svoje aktivity s ďalšími aktérmi spájanými s iránskym ministerstvom spravodajských služieb a bezpečnosti.

Podľa nášho Labu je POLONIUM veľmi aktívna skupina so širokým arzenálom nástrojov, pričom svoje malvéry neustále prispôsobuje a vyvíja. Spoločným znakom, ktorý charakterizuje niekoľko nástrojov, je zneužívanie cloudových služieb ako Dropbox, Mega či OneDrive na komunikáciu s riadiacim serverom. Spravodajské aj verejné informácie o skupine POLONIUM sú veľmi strohé a obmedzené, pravdepodobne z dôvodu, že útoky tejto skupiny sú mimoriadne cielené a spôsob prvotného prieniku je neznámy. Vzhľadom na využité nástroje sa domnievame, že útočníci sa zaujímajú o zber citlivých údajov. Nenašli sme indikácie, podľa ktorých by cieľom skupiny bola sabotáž alebo vydieranie ransomvérom. Skupina vyvinula aj vlastné nástroje na vyhotovovanie snímok obrazovky, zaznamenávanie stlačení klávesnice, sledovanie cez webovú kameru, otváranie reverse shellov či vynášanie súborov.

A hoci dôkazy o prepojení prvého malvéru s nepokojmi v Iráne z posledných týždňov nemáme, prvý aj druhý objav naznačujú, že iránsky režim má väčší arzenál než iba vojenské drony, ktoré podľa obvinení Rusko používa vo vojne proti Ukrajine.

Na náš report o kybernetických hrozbách za štyri mesiace som vás navnadil už v poslednom stĺpčeku. Ak ste sa k nemu ešte nedostali, nájde si v ňom niečo naozaj každý, koho hlbšie zaujíma kybernetická bezpečnosť.

Najnovšie vydanie mapuje obdobie od mája do augusta 2022 a všíma si zaujímavosti vo vývoji politicky motivovaných ransomvérových útokov, aktivitu botnetu Emotet, najpoužívanejšie phishingové nástrahy, vzťah medzi klesajúcim bitcoinom a kryptohrozbami a pokračujúci prudký pokles pokusov o útoky cez RDP. Naši analytici sa domnievajú, že útoky RDP strácajú na sile najmä v dôsledku vojny na Ukrajine, návratu zamestnancov do kancelárií a zlepšenej bezpečnosti vo firemnom prostredí.

Najviac pokusov o útoky RDP pritom stále pochádza z ruských IP adries. Počas prvej tretiny tohto roka bolo Rusko najviac zasiahnutou krajinou ransomvérovými útokmi na svete. Niektoré útoky boli politicky alebo ideologicky motivované ako reakcia na vojnu. Táto vlna však v druhej tretine roka oslabla a ransomvéroví útočníci zamerali svoju pozornosť na Spojené štáty, Čínu a Izrael.

Z iného súdka: Podľa telemetrie spoločnosti ESET bol august mesiac, keď útočníci stojaci za botnetom Emotet, najvplyvnejším v kategórii downloaderov, utlmili svoju aktivitu. Skupina, ktorá má tieto útoky na svedomí, sa tiež prispôsobila opatreniu spoločnosti Microsoft, ktorá zakázala makrá VBA v dokumentoch pochádzajúcich z internetu. Operátori Emotetu sa preto namiesto makier zamerali na kampane, ktoré sú založené na škodlivých dokumentoch Microsoft Office a súboroch LNK.  

A to je nateraz všetko, som si istý, že aj do posledného tohtoročného vydania Nextechu stihnú naši výskumníci objaviť ďalšie zaujímavosti. Dovtedy sa snažte prežívať v mentálnom aj fyzickom zdraví v tomto nepokojnom svete.

Branislav Ondrášik, ESET

Všetky autorove články

Pridať komentár

Mohlo by vás zaujímať

Mohlo by vás zaujímať