20. květen, 2013 | Tiskové zprávy

ESET odhalil cílený kybernetický útok v Pákistánu, ke krádeži dat využíval falešné PDF přílohy

ESET rozkryl a analyzoval cílenou kampaň kybernetických zločinců, kteří se snažili krást citlivé informace z různých organizací zejména na území Pákistánu. Hrozba se však omezeně šířila i v dalších zemích po celém světě. V průběhu vyšetřování, které ESET provedl, se zjistilo, že hrozba pochází z Indie, a je aktivní již nejméně dva roky.

Tento cílený útok využíval šifrovaný podpisový certifikát vydaný zdánlivě legitimní společností k podpisu škodlivých binárních souborů, čímž se zvyšuje jejich potenciál při dalším šíření. Společnost byla založena v Novém Dillí v Indii a certifikát byl vydán v roce 2011. Malware se šíří v dokumentech posílaných jako e-mailová příloha.

„Identifikovali jsme několik různých dokumentů obsahujících řadu motivů, které by mohly být lákavé pro potenciální příjemce. Jedním z nich měly být indické ozbrojené síly. Nemáme ještě úplně přesné informace, na které konkrétní osoby nebo organizace byly tyto soubory zaměřeny, na základě našeho šetření ale předpokládáme, že mělo jít o lidi a instituce v Pákistánu,“ řekl Jen–Ian Boutin, výzkumník společnosti ESET.

Jeden z falešných PDF souborů se šířil prostřednictvím samorozbalovacího archivu s názvem „pakistandefencetoindiantopmiltrysecereat.exe“ a jeho telemetrická data podle ESETu ukazují, že tato hackerská kampaň postihla ze 79 % právě počítače v Pákistánu.

První infikovaný vektor, který se výrazně rozšířil, zneužíval zranitelnost známou jako CVE–2012–0158. Tato chyba může být zneužita prostřednictvím speciálně upravených dokumentů Microsoft Office a umožňuje spustit libovolný škodlivý kód. Infikované dokumenty byly rozesílány elektronickou poštou a malware se spustil bez vědomí uživatele počítače ve chvíli, kdy soubor otevřel. Další malware, který se šířil také e-mailem, se skrýval ve spustitelných souborech, které vypadaly jako dokumenty Word nebo PDF. Aby se autoři vyhnuli podezření, v obou případech se po spuštění zároveň s hrozbou otevřel i falešný dokument.

Malware kradl citlivá data z infikovaného počítače a posílal je na servery útočníků. Pro tuto činnost používal hned několik různých technik určených ke krádeži dat, mezi nimi key loggery, které snímají stisky jednotlivých kláves na počítači, a snímky obrazovky pak ukládaly do počítače útočníků. Je zajímavé, že ukradené informace z infikovaného počítače se nahrávaly na server útočníka v nešifrované podobě. "Rozhodnutí nepoužívat šifrování je pro nás záhadou. Přidání základního šifrování by bylo snadné a poskytlo by útoku lepší utajení," dodává Jean-Ian Boutin.

Kompletní technická analýza je dostupná na odborném serveru WeLiveSecurity.com, platformě společnosti ESET, která obsahuje aktuální informace a analýzy kybernetických hrozeb a užitečné bezpečnostní tipy.

Názvy detekovaných hrozeb

Tato hrozba má mnoho částí a vektorů, níže naleznete názvy hrozeb, které souvisejí s tímto případem.

Win32/Agent.NLD worm

Win32/Spy.Agent.NZD Trojan

Win32/Spy.Agent.OBF Trojan

Win32/Spy.Agent.OBV Trojan

Win32/Spy.KeyLogger.NZL Trojan

Win32/Spy.KeyLogger.NZN Trojan

Win32/Spy.VB.NOF Trojan

Win32/Spy.VB.NRP Trojan

Win32/TrojanDownloader.Agent.RNT Trojan

Win32/TrojanDownloader.Agent.RNV Trojan

Win32/TrojanDownloader.Agent.RNW Trojan

Win32/VB.NTC Trojan

Win32/VB.NVM Trojan

Win32/VB.NWB Trojan

Win32/VB.QPK Trojan

Win32/VB.QTV Trojan

Win32/VB.QTY Trojan

Win32/Spy.Agent.NVL Trojan

Win32/Spy.Agent.OAZ trojan

 

 

O společnosti ESET

Společnost ESET, která byla založena v roce 1992, je světovým poskytovatelem bezpečnostního softwaru pro firemní klientelu a domácnosti. Společnost vyvinula špičkové bezpečnostní řešení a stále si udržuje přední místo na trhu proaktivní detekce počítačových hrozeb. Softwarové řešení ESET NOD32 Antivirus drží světový rekord v počtu ocenění v testu „VB100“, který provádí magazín Virus Bulletin, a od počátku testování v roce 1998 nebyl jediný výskyt volně šířeného počítačového červa nebo viru, který by tento program nezachytil. Na řešení ESET NOD32 Antivirus, ESET Smart Security a ESET Cybersecurity for Mac spoléhají miliony uživatelů na celém světě a patří mezi nejvíce doporučovaná bezpečnostní řešení na světě.

Společnost ESET má celosvětovou centrálu v Bratislavě (Slovensko), regionální distribuční centra jsou v San Diegu (USA), Buenos Aires (Argentina) a v Singapuru. Výzkumná centra ESET pro analýzu malware se nacházejí v Bratislavě, San Diegu, Buenos Aires, Praze (Česká republika), Krakově (Polsko), Montrealu (Kanada) a v Moskvě (Rusko), přičemž společnost ESET disponuje rozsáhlou sítí partnerů ve více než 180 zemích světa.

Kontakt pro média:

Tomáš Perman

PR Consultant ESET

E-mail: tomas.perman@relativepr.cz

Media Kit ke stažení

ESET Media Kit ke stažení

Firemní logo, produktová grafika i představení firmy.

Kontakt pro novináře:

Petr Blažek
Jan Potůček
externí konzultant
jan.potucek@taktiq.com
tel:  + 420 606 222 928