SAMSUNG_112021 SAMSUNG_112021 SAMSUNG_112021 Advertisement

Vírusový radar: Diplomacia má viacero podôb, v Labe sme ju objavili aj vo forme backdooru v Afrike

Bezpečnosť
0

Jún je v našom Labe už tradične mesiac, keď na celosvetovom stretnutí ESETu s partnermi, analytikmi či novinármi (tento rok opäť iba na virtuálnom ESET World) prezentujeme čerešničky nášho výskumu z posledných pár mesiacov. Tematicky asi nebude prekvapenie, že tento rok sa týkal kybernetickej špionáže. Tentoraz sme sa však zamerali na oblasti sveta, ktoré záujmom médií až tak nesršia.

Výskumníci Adam Burgher a Jean-Ian Boutin objavili novú skupinu APT sofistikovaných hrozieb, ktorú sme nazvali Backdoor­Diplomacy. Pomenovanie backdoorová diplomacia pritom nie je samoúčelné. Jednak táto kyberšpionážna skupina útočí na diplomatov, jednak to môže byť aj istá forma drastickej diplomacie nejakej významnej krajiny na geopolitickom poli.

BackdoorDiplomacy sa zameriava najmä na ministerstvá zahraničných vecí na Blízkom východe a v Afrike, no v menšom počte prípadov cieli aj na telekomunikačné spoločnosti. Útoky sa zvyčajne začnú zneužitím zraniteľných aplikácií na webových serveroch. Zadné vrátka, ktoré používajú, sme pomenovali Turian. Skupina je tiež schopná rozpoznať vymeniteľné médiá ako externé disky a skopírovať ich zašifrovaný obsah na špecifické miesto: do súboru „kôš“ na skompromitovanom pevnom disku. BackdoorDiplomacy dokáže kradnúť systémové informácie obetí, vyhotovovať snímky obrazovky, a ako už bolo naznačené, prepisovať, presúvať či mazať súbory. 

Podľa nášho výskumu je Turian evolúciou backdooru Quarian, ktorý sa naposledy objavil v roku 2013 pri útokoch na diplomatické ciele v Sýrii a USA. V jednom z nami skúmaných prípadov útoku smerujú stopy k webshellu (umožňuje vzdialený prístup  k webovému serveru) s názvom China Chopper, ktorý však používajú viaceré vyspelé skupiny.

Druhý výskum sa tiež týkal takpovediac geopolitiky. Thomas Dupuy a Matthieu Faou totiž rok sledovali viaceré kybernetické operácie, za ktorými stála pomerne neznáma skupina Gelsemium. Najstaršiu verziu hlavného malvéru tejto skupiny sme pritom dokázali vystopovať až do roku 2014. Rovnako ako pri BackdoorDiplomacy aj tu boli obete na Blízkom východe, ale Afriku v tomto prípade vystriedala východná Ázia. Ako sa pri správnych kybernetických špiónoch patrí, medzi terčmi boli vládne inštitúcie, ale aj univerzity, náboženské organizácie či výrobcovia elektroniky.

Zaujímavosť a zároveň modus operandi Gelsemia je v tom, že jeho útoky sú extrémne zacielené: vlastne sa nám podarilo lokalizovať iba hŕstku prípadov napadnutia. Dá sa tak predpokladať, že záujem bol práve o dáta konkrétnej obete alebo typu obetí. O operácii NightScout, jednom z útokov Gelsemia, som písal už v jednom z predošlých stĺpčekov. Kybernetickí špióni v tomto prípade zacielili útok na aktualizácie herného emulátora Nox­Player, ktorý umožňuje spustiť mobilnú hru na počítači. Túto obľúbenú aplikáciu vývojárskej firmy BigNox pritom používa viac ako 150 miliónov ľudí po celom svete.

No aby toho nebolo málo, jún bol naozaj plodný mesiac nášho výskumu, keďže sme vydali aj prvý tohtoročný report o kybernetických hrozbách. Nájdete ho na našej stránke Welivesecurity.com a môžete si v ňom ako vždy pozrieť sumarizujúce kľúčové štatistiky z detekčných systémov ESETu. ESET Threat Report T1 je zároveň prvý, ktorý vychádza trikrát ročne a bude pokrývať obdobie štyroch mesiacov.

No nie iba štatistikami je človek živý, preto si v ňom môžete pozrieť aj exkluzívne aktualizácie s novými poznatkami o APT skupinách Lazarus a Turla alebo aj o hrozbe pre mobilný operačný systém iOS, ktorá dokáže kradnúť informácie z „jail­breakovaných“ mobilných zariadení s iOS.

V každom prípade všetkým želám príjemné uvoľnené leto, a ak ste tak ešte neurobili, pred cestou na dovolenku sa nezabudnite dať zaočkovať. No a pri surfovaní na nete: hlavne bezpečne.

 

 

Branislav Ondrášik, ESET

Všetky autorove články

Pridať komentár

Mohlo by vás zaujímať

Mohlo by vás zaujímať