Vírusový radar / Dvaja vtáci, rôzne špionážne záujmy. Jeden nepozvaný hosť v hoteli, druhý nepozvaný hosť v smartfóne
Dovolenkové leto je za nami, pandemická jeseň v rozpuku, ale to neznamená, že hotely majú núdzu o hostí. Hovorím však o špeciálnych hosťoch. Nepozvaných hosťoch, o ktorých ubytovacie siete záujem nemajú. Keďže tematický obsah tohto stĺpčeka už je nejaký ten rok dobre známy, áno, hovorím o kybernetických kriminálnikoch.
Výskumníkom ESETu sa nedávno podarilo odhaliť a rozanalyzovať úplne novú kybernetickú špionážnu skupinu. Nezbedný vtáčik – pomenovali sme ho FamousSparrow. No a tento vrabec (po anglicky sparrow) zobká a skáče ako každá dobrá kybernetická špionážna skupina – vezme si presne, čo chce, a urobí kroky presne také, ako potrebuje. Tento sa zameral predovšetkým na systémy hotelov, ale zaútočil aj na vládne inštitúcie, medzinárodné organizácie a súkromné firmy.
Podľa našich detekcií útočil po celom svete, v Európe to bolo vo Francúzsku, v Litve a v Spojenom kráľovstve (áno, aj to je ešte stále Európa!). FamousSparrow neobjavoval úplne Ameriku, v akcii využíval zraniteľnosti v Microsoft Exchange Serveri, o ktorých som tu už tento rok písal. Zviezlo sa na nich viac ako desať kybernetických špionážnych skupín. No možno trochu originality mu treba priznať, keďže je súčasťou malého počtu skupín, ktoré mali k detailom zraniteľností „skorý prístup“. Využíva vlastný backdoor – SparrowDoor, a ako vysvetľuje autor výskumu z ESETu Tahseen Bin Taj, je nateraz jedinou skupinou, ktorá ho použila. Ďalšia originalita. Niektoré ďalšie technické podrobnosti však už má spoločné aj s dvoma ďalšími útočnými skupinami.
Dáta niektorých hotelov tak mohli skončiť v nebezpečných rukách, čo je nepríjemnejšie prekvapenie pre hostí ako príliš skorý check-out alebo nie príliš chutný raňajkový bufet. Ďalší z autorov výskumu Matthieu Faou preto opäť v dobrom pripomína: „Je to ďalšia pripomienka toho, aby sa systémy pripojené na internet aktualizovali čo najrýchlejšie. A ak to nie je možné, radšej by na internet nemali byť pripojené vôbec.“
Na ďalšiu zaujímavú kybernetickú špionáž sa pozrel náš výskumník z košického ESETu Lukáš Štefanko. A vraj na východe nič nie je. My vieme, že je tam aspoň náš Lukáš. Na rozdiel od FamousSparrow ide o iného vtáčika – jastraba BladeHawk (hawk je jastrab po anglicky) a útočí na menšie, ale možno ešte zraniteľnejšie zariadenia – androidové smartfóny.
Objavená kampaň BladeHawk bola zameraná na Kurdov, ktorí sa infikovali backdoormi zamaskovanými ako legitímne aplikácie. Na rozšírenie používal tematicky zamerané skupiny na Facebooku a falošné profily na tejto sociálnej sieti. Skupiny pritom mali viac ako 11-tisíc členov. Špionážne aplikácie si stiahlo viac ako 1400 ľudí. No vďaka nášmu oznámeniu Facebooku sa falošné profily rozširujúce tento malvér aspoň podarilo zrušiť.
Špionážne aplikácie vedeli poslúchať 42 príkazov zo svojho riadiaceho servera. Dokázali kradnúť a mazať zo smartfónov dáta, robiť snímky obrazovky, „phishnúť“ prihlásenie do Facebooku, zistiť polohu zariadenia, spoznať nainštalované apky, kradnúť fotografie používateľov a dokonca robiť vlastné zábery, nahrávať audio z okolia smartfónu a telefonické hovory, vedeli aj samy telefonovať, kradnúť esemesky, posielať ich a kradnúť kontakty. Vcelku strašidelné schopnosti. Od roku 2018 sme zaznamenali stovky zablokovaných pokusov o stiahnutie tohto malvéru.
Ale rovnako ako sa dá predísť vyvádzaniu FamousSparrow, aj pred BladeHawk sa dá chrániť. Jednak využívaním zdravého rozumu pri tom, čo a hlavne odkiaľ do telefónu sťahujem. A inštalácia bezpečnostnej apky je tiež odporúčaná. Mnohí si ešte stále neuvedomujú, že smartfón nie je predovšetkým telefón, ale vlastne počítač do ruky.
V každom prípade buďte v kybernetickom priestore opatrní, prajem aj tento mesiac bezpečné surfovanie.
