ASUS_122021 ASUS_122021 ASUS_122021

Vírusový radar / KYBERNETICKÝ ŠPIÓN MÔŽE BYŤ VÄČŠIA HROZBA NEŽ KLASICKÝ KRIMINÁLNIK

Bezpečnosť
0

Kybernetickí špióni verzus kriminálnici. Niekedy sa medzi nimi rozdiel stiera, veď aj kybernetickí špióni v mnohých jurisdikciách páchajú vlastne trestnú činnosť. No v našej branži medzi nimi vidíme zásadný rozdiel. Kriminálnika zaujíma na obetiach starý dobrý keš. Teda nie „Kaliňákov keš“, ale finančná hodnota, napríklad v podobe anonymizovanej kryptomeny.

No a kyberšpióna zaujímate najmä vy: čo máte v smartfóne, počítači, s kým a o čom komunikujete. Zrejme pre mnohých ešte viac hrôzostrašné než klasický kriminálnik. Netreba však hneď šíriť paniku. Takéto útoky sú obyčajne veľmi cielené a sofistikované a útočník musí do nich investovať často milióny eur. Čiže ak nie ste významný novinár, disident alebo zamestnanec vlády či bezpečnostných zložiek, infikovať vás niečím hypersofistikovaným a drahým sa jednoducho neoplatí. V tomto pravidelnom stĺpčeku rozoberáme obe skupiny, ale dnes sa pozrieme na kybernetických špiónov.

V júli bol takýmto strašiakom špionážny softvér (spajvér) Pegasus od izraelskej firmy NSO. Ak útočník bol klientom NSO, za nemalú sumu dostal do vášho mobilného zariadenia (s Androidom alebo aj do iPhonu) svoj produkt. Obzvlášť fakt, že sa dostal až takto nebadane do mobilného produktu Apple, bolo nóvum a veľká sofistikovanosť. Využil na to neobjavené zraniteľnosti a dokázal čítať správy, zbierať heslá, polohu, nahrávať z mikrofónu aj kamery, získavať informácie z nainštalovaných apiek a, samozrejme, mal aj starú dobrú špionážnu funkciu: sledovať telefonické hovory.

Pegasus sa pritom na iPhony pokúsil dostať už v lete 2016, hoci vtedy neúspešne. Išlo vtedy asi o najsofistikovanejší útok na tento typ smartfónu a možno aj hociktorý smartfón vôbec. Neskôr sa im to už podarilo a práve v júli tohto roka vyšlo najavo, že Pegasus vie infiltrovať iPhony aj bez akejkoľvek aktivity používateľa – teda bez kliku, napríklad iba prijatím správy. Najnovšie verzie Pegasa však po zaplátaní zo strany Apple už túto možnosť vraj nemajú a v prípade infekcie sa na telefóne možno nedokáže udržať dlho, mohol by stačiť obyčajný reboot na strasenie sa tejto pliagy. Mimochodom, z času na čas reštartovať mobil je určite dobrá prax. Či to však stačí, nevieme. Dozaista to stačí pri istých typoch hrozieb a rozhodne by to nemala byť jediná ochranná metóda. Pegasa rovnako ako mýtického koňa s krídlami len málokto videl a tí, čo videli, nezabudli. Podľa Pegasus Project, v ktorom je zapojených 80 novinárov zo 17 svetových médií spolu s mimovládkami Amnesty International a Forbidden Stories, bol tento rok Pegasus prepojený až s 50-tisíc telefónnymi číslami po celom svete. To bola širšia množina potenciálnych cieľov, koľko z nich bolo naozaj infikovaných, opäť nikto nevie.

No a tento mesiac naši výskumníci objavili ďalší spajvér s podobnými cieľmi. Tentoraz išlo o inú izraelskú spajvérovú firmu Candiru. Prekvapivo jej škodlivý kód neinfikoval smartfóny, ale počítače. To podľa autora výskumu, nášho montrealského výskumníka Matthieu Faoua, naznačuje, že sa zameriaval na ciele pracujúce v kancelárii na desktopoch.

S vysokou pravdepodobnosťou klient Candiru najprv kompromitoval webové stránky médií v Británii, Jemene, Saudskej Arábii a takisto stránky hnutia Hizballáh. Medzi ďalšími obeťami sú vládne inštitúcie v Iráne (ministerstvo zahraničných vecí), v Sýrii (vrátane ministerstva energetiky), v Jemene (ministerstvá vnútra a financií) či poskytovatelia internetových služieb v Jemene a Sýrii. Zasiahnuté boli aj letecké a vojenské technologické spoločnosti v Taliansku a v Juhoafrickej republike. Útočníci dokonca napodobnili stránku medicínskeho veľtrhu v Nemecku. 

Tieto tzv. watering hole útoky kompromitujú webové stránky, ktoré pravdepodobne navštevujú  objekty záujmu kybernetických útočníkov, čím sa otvoria dvere k infikovaniu ich zaradení. Názov aj podstata útoku sú odvodené od lovu. Namiesto toho, aby lovec prenasledoval svoju obeť, počká si ju na mieste, kam pravdepodobne príde sama. Tradične to býval vodný zdroj alebo napájadlo (z angličtiny watering hole), ku ktorému obeť skôr či neskôr príde. Útočník následne zaútočí.  

V rámci tejto kampane boli návštevníci stránok pravdepodobne napadnutí prostredníctvom zraniteľnosti prehliadača. Kompromitované stránky slúžili len ako odrazové mostíky na zasiahnutie konečných cieľov. Veľmi špecificky vybrané ciele tak dostali s veľkou pravdepodobnosťou do počítača spajvér od Candiru, ktorý dokáže vykonávať najrôznejšie špionážne aktivity. Candiru  sa zameriava na predaj najmodernejších útočných softvérov a služieb vládnym agentúram. Americké ministerstvo obchodu firmu nedávno zaradilo na zoznam zakázaných.

Naposledy zaznamenal ESET aktivitu v rámci tejto operácie na konci júla 2021 – krátko po tom, čo Citizen Lab, Google a Microsoft zverejnili články opisujúce praktiky spoločnosti Candiru. Vyzerá to tak, že sa útočníci stiahli do ústrania, aby upravili svoju kampaň a urobili ju ešte utajenejšou. Naši výskumníci preto predpokladajú, že sa vrátia v nasledujúcich mesiacoch.

Ak si chcete o tomto útoku prečítať viac, nasmerujem vás na náš blog na Welivesecurity.com. Ak chcete aj viac geopolitického kontextu, o tomto objave ESETu písal na Slovensku denník SME, ale aj svetové médiá, napr. denník The ­Guardian, magazín Forbes či agentúra AFP.

Kyberkriminálnik alebo kyberšpión, uvidíme, na koho sa zameriam v budúcom vydaní. Dovtedy čo najpokojnejšie a najzdravšie prežite už druhé pandemické Vianoce. A nech je rok 2022 lepší, hlavne aj bezpečnejší vo virtuálnom svete.

Branislav Ondrášik, ESET

Všetky autorove články

Pridať komentár

Mohlo by vás zaujímať

Mohlo by vás zaujímať