Praha 15. července 2019 – V závěru minulého týdne vydali bezpečnostní analytici ESET zprávu o tzv. zero day exploitu, který umožnil útočníkům provádět vysoce cílené útoky ve východní Evropě. Hackerská skupina zneužívala zranitelnosti pro přidělování lokálních práv v Microsoft Windows. Tým společnosti ESET nyní dokázal určit identitu útočníků. Jedná se o skupinu Buhtrap APT, která se zaměřuje na špionáž ve východní Evropě a střední Asii.
Skupina Buhtrap dlouhodobě cílí na finanční instituce a firmy v Rusku. Nicméně od konce roku 2015 jsme svědky toho, že skupina změnila profil svých cílů. Tato kriminální organizace páchající kybernetický zločin pro finanční zisk tak postupně rozšířila své portfolio malware i o nástroje určené k provádění špionáže.
„V situaci, kdy jsou zdrojové kódy nástrojů použitých během této kampaně volně dostupné na webu, je těžké ji přisoudit někomu konkrétnímu. Nicméně v tomto případě jsme na základě našich poznatků usoudili, že za útoky na vládní instituce stojí s největší pravděpodobností stejní lidé, kteří stáli i za prvními útoky skupiny Buhtap na firmy a banky,“ říká Jean-Ian Boutin, vedoucí výzkumného týmu společnosti ESET. „Zatím není zřejmé, zda se své zaměření rozhodl změnit jeden či vícero členů skupiny, stejně jako není znám důvod této změny. Jde ale o věc, kterou se budeme nadále zabývat,“ dodává Boutin.
Jak ukazují závěry analytiků z ESET, útočníci přidali do svého arzenálu nové nástroje a aktualizovali ty staré. Taktika, technika a procesy, které byly použity v jiných kampaních skupiny Buhtrap, se v průběhu posledních let výrazně nezměnily. Dokumenty používané k šíření jejich malware bývají maskovány neškodným textovým obsahem, tak aby nevyvolaly při svém otevření žádné podezření. Analýza těchto dokumentů poskytuje analytikům vodítka k tomu, na koho mohou být cíleny.
Útočníci usilovali o hesla obětí
V této specifické kampani obsahoval distribuovaný malware mimo jiné i nástroj ke sběru hesel, který se pokoušel získat hesla z e-mailových klientů, webových prohlížečů a podobně. Získané údaje poté zasílal na řídící server útočníků. Ti měli rovněž úplný přístup do kompromitovaného systému.
„Podstatou tohoto incidentu je skutečnost, že spuštěním běžné aplikace na starším systému Windows bez patřičné záplaty win32k.sys je útočník schopen získat nejvyšší systémová oprávnění a ovládnout tak kompletně napadené zařízení,“ vysvětluje Miroslav Dvořák, technický ředitel české pobočky společnosti ESET.
Společnost ESET ohlásila exploit společnosti Microsoft, která zranitelnost opravila a vydala příslušnou aktualizaci
Důležité milníky útoků skupiny Buhtrap na časové ose:
- Duben 2014: První zachycený backdoor skupiny Buhtrap, který cílil na ruské firmy.
- Podzim 2015: Skupina Buhtrap se začíná zaměřovat přímo na finanční instituce.
- Prosinec 2015: Backdoor skupiny Buhtrap detekován na zařízeních státních institucí.
- Únor 2016: Škodlivý kód skupiny Buhtrap uniká na web.
- Červen 2019: Použití tzv. zero day útoku na státní instituce.
O společnosti ESET
Společnost ESET již od roku 1987 vyvíjí bezpečnostní software pro domácí i firemní uživatele. Ten drží rekordní počet ocenění a díky němu může více než 100 milionů uživatelů bezpečně objevovat možnosti internetu. Široké portfolio produktů ESET pokrývá všechny populární platformy včetně mobilních a poskytuje neustálou proaktivní ochranu při minimálních systémových nárocích. ESET se stal první společností, která díky dlouhodobě vysoké úrovni ochrany získala 100 ocenění prestižního magazínu Virus Bulletin VB100. Za těmito úspěchy stojí zejména dlouhodobé investice do vývoje. Jen v České republice nalezneme tři vývojová centra a to v Praze, Jablonci nad Nisou a Brně. Společnost ESET má lokální zastoupení v Praze, celosvětovou centrálu v Bratislavě a disponuje rozsáhlou sítí partnerů ve více než 200 zemích světa.
Kontakt pro média:
Ondřej Šafář
PR manažer
tel: +420 233 090 264
tel: +420 776 234 218
ondrej.safar@eset.cz
Tereza Malkusová
Obsahová editorka
tel: +420 222 811 164
tel: +420 702 206 705
tereza.malkusova@eset.cz