Vírusový radar / Rusi zaútočili proti energetickej spoločnosti v Poľsku, ESET však pomohol útok wiperom dát odvrátiť
Mesiac sa s mesiacom zišiel a podľa očakávania: žiadna uhorka. Opäť bol nabitý objavmi, ale aj varovaniami. Svet sa zázračne nezmenil na oázu pokoja a mieru, ironicky by som mohol povedať, že z tohto hľadiska je zdanlivo všetko v rovnováhe. Poďme si to teda rozobrať na drobné.
Výskumníci z nášho labu identifikovali nový škodlivý softvér na vymazávanie dát, ktorý nazvali DynoWiper a ktorý bol použitý proti energetickej spoločnosti v Poľsku. Taktiky, techniky a postupy pozorované počas incidentu s DynoWiperom vykazujú výrazné podobnosti s postupmi zaznamenanými v predchádzajúcom incidente na Ukrajine pri použití wipera dát ZOV. Z, O a V sú ruské vojenské symboly. Moji kolegovia pripisujú DynoWiper pravdepodobne ruskej skupine Sandworm.
No pripisovanie aktivít akejkoľvek APT skupine je zo svojej podstaty zložité a v tomto prípade poľský CERT predkladá silný a dobre podložený argument pre svoje hodnotenie, že za útokom stojí iná ruská skupina Static Tundra. V každom prípade sa naše zistenia aj zistenia poľského CERT zhodujú v kľúčovom bode: útok vykonal aktér napojený na Rusko – či už išlo o Sandworm, alebo Static Tundra.
Tento incident predstavuje zriedkavý a doteraz nezdokumentovaný prípad, v ktorom hackerská skupina spriaznená s Ruskom nasadila deštruktívny wiper proti energetickej spoločnosti v Poľsku. V predchádzajúcom roku ESET analyzoval viac ako 10 incidentov týkajúcich sa deštruktívneho malvéru pripisovaného skupine Sandworm, z ktorých takmer všetky sa odohrali na Ukrajine. Naša technológia však spustenie wipera zablokovala, čím výrazne obmedzila jeho možné dôsledky.
Ešte koncom decembra boli vzorky DynoWiper nasadené do pravdepodobne zdieľaného adresára v doméne obete. Je možné, že pred tým, ako útočníci nasadili malvér do cieľovej organizácie, otestovali operáciu na virtuálnych zariadeniach. Nasadené boli tri odlišné vzorky, pričom všetky pokusy zlyhali.
DynoWiper prepisuje súbory pomocou 16-bajtového pamäťového buffera obsahujúceho náhodné dáta, ktoré sú vygenerované jednorazovo na začiatku jeho spustenia. Na nechránenom počítači sú súbory s veľkosťou 16 bajtov alebo menej úplne prepísané. Aby sa urýchlil proces ničenia, súbory väčšie ako 16 bajtov majú prepísané len niektoré časti svojho obsahu. DynoWiper vymaže súbory na všetkých vymeniteľných a pevných diskoch a nakoniec vynúti reštart systému, čím dokončí proces deštrukcie.
Výskumníci ESETu identifikoval niekoľko podobností s už spomínaným deštruktívnym malvérom, konkrétne s wiperom ZOV. DynoWiper funguje vo veľkej miere podobne ako wiper ZOV. Zaujímavé je, že vylúčenie určitých adresárov a najmä jasná logika spôsobu vymazania menších a väčších súborov sa nachádza aj vo wiperi ZOV. ZOV je deštruktívny malvér, ktorý ESET zaznamenal v novembri 2025 pri útoku na finančnú inštitúciu na Ukrajine. ZOV po spustení prechádza súbory na všetkých pevných diskoch a vymazáva ich prepísaním ich obsahu. Ďalší prípad wipera ZOV sa vyskytol v energetickej spoločnosti na Ukrajine, kde útočníci nasadili škodlivý kód dávnejšie.
No diali sa aj oveľa banálnejšie veci, ktoré ukazujú, prečo je vždy nevyhnutné byť v strehu oproti rôznym podvodným praktikám sociálneho inžinierstva.
Na Slovensku to napríklad bol nový typ telefonických podvodov, pri ktorých sa útočníci vydávajú za známu platobnú službu. Obeť kontaktujú nevyžiadaným telefonátom zo zahraničného čísla, v nami zachytených prípadoch s nemeckou predvoľbou. Automatizovaný hlas po zodvihnutí informuje o urgentnej požiadavke na overenie platby zo strany spoločnosti PayPal. Útočníci sa snažia navodiť dojem, že ide o preventívne viacfaktorové overenie nečakane vysokej transakcie cez službu PayPal. Obete sa pýtajú, či chce danú platbu potvrdiť, pričom hlas v telefóne vyzve príjemcu na potvrdenie platby stlačením čísla 1.
Potvrdenie platby vedie pravdepodobne k ďalšiemu kontaktu s útočníkmi prostredníctvom presmerovania hovoru na linku s podvodným operátorom. Ten sa môže následne pokúšať zmanipulovať obeť na inštaláciu škodlivého softvéru alebo prezradenie citlivých údajov, prípadne vykonanie inej platby.
Legitímne služby nikdy prostredníctvom nevyžiadaných telefonátov nenavádzajú používateľov na inštaláciu softvéru či prezradenie citlivých údajov vrátane hesla. Preto odporúčame nezdvíhať nečakané hovory zo zahraničných čísel. V prípade, že obeť hovor prijme a prihovorí sa jej automatizovaný hlas, nemala by reagovať na výzvy na stlačenie klávesov a telefonát okamžite ukončiť. Určite túto radu posuňte aj vašim rodičom, starým rodičom a iným blízkym. A rovnako to platí pri obdobných telefonátoch od falošných mužov zákona, s podvodmi sa roztrhlo vrece.
V inom prípade sme odhalili a zablokovali rozsiahlu phishingovú kampaň, v ktorej tisícky adresátov dostali e-mail s výzvou na podpis priloženej zmluvy. Súbor v skutočnosti skrýval malvér CloudEye, ktorého cieľom bolo pravdepodobne zariadenia obetí nainfikovať nebezpečným škodlivým kódom Agent Tesla. Tento škodlivý kód je určený na krádež širokej palety dát. ESET pokus o útok zablokoval na zariadeniach, ktoré sú chránené jeho bezpečnostným softvérom.
E-mailové správy boli odoslané pravdepodobne z hacknutej domény. Správa vyzývala adresátov na stiahnutie zmluvy. Z kontextu e-mailu je pravdepodobné, že útočníci cielili na používateľov vo firmách.
Uvidíme, čo nám prinesie ďalší mesiac, ale sledujúc prácu v našom labe, o novinky zo sveta kybernetických útočníkov nebude núdza. Dovtedy si vo virtuálnom svete na nich dávajte pozor, želám pohodové a hlavne bezpečné surfovanie online svetom.
