ESET: Kyber špioni ukradli venezuelské armádě gigabajty důvěrných dokumentů

Další zpráva

Praha 5. srpna 2019 – Výzkumný tým bezpečnostní společnosti ESET odhalil útoky na významné státní instituce v Latinské Americe. Více než polovina napadených počítačů patří venezuelským ozbrojeným silám. Mezi jejich cíli byly i další instituce, od policie a školství až po ministerstva zahraničních věcí. Většina útoků (75 %) se odehrála ve Venezuele, dalších 16 % v Ekvádoru, kde byla cílem také armáda. K dalším incidentům došlo v Kolumbii (7 %) a Nikaragui (2 %). Skupina, která stojí za těmito útoky, ukradla každý týden gigabajty důvěrných dokumentů. Skupina je přitom stále vysoce aktivní. Zaútočila navíc v době, kdy je situace v regionu napjatá.

Výzkumný tým ESET sledoval nové verze kyber zločineckých nástrojů Machete, které byly poprvé objeveny před rokem. Během pouhých tří měsíců, mezi březnem a květnem letošního roku, odhalili analytici ESET přes 50 napadených počítačů, které komunikovaly s řídícím serverem patřícím skupině. Útočníci pravidelně měnili samotný malware, jeho infrastrukturu i techniky tzv. spear phishingu.

Země, kde probíhala kampaň Machete v roce 2019, podle závěrů výzkumníků ESET

„Operátoři Machete používají efektivní techniky spear phisingu. Útoky v Latinské Americe plánují jako dlouhodobé a mohou tak sbírat informace a postupně měnit taktiku roky. Dobře znají své cíle, ví jak napodobit styl jejich běžné komunikace a které dokumenty mají největší cenu,“ říká expert společnosti ESET Matias Porolli. „Útočníci se při krádežích zaměřují nejen na běžné dokumentové formáty ale i na některé specifické, například ty, které používají geografické informační systémy (GIS). Skupina se zajímá především o soubory popisující navigační trasy a umístění objektů pomocí vojenských navigačních souřadnic (MGRS),“ dodává.

Útočníci klamou oběti pomocí cílených e-mailů

Skupina útočníků stojící za backdoorem Machete zasílá velmi specifické phishingové e-maily přímo svým obětem. Ve snaze oklamat nic netušící oběti, používají operátoři Machete pravé, dříve odcizené dokumenty, například utajené vojenské informace. Mezi nimi byly například radiogramy, což jsou dokumenty využívané armádou ke komunikaci. K tvorbě přesvědčivých phisingových e-mailů útočníci využívají detailní znalost vojenského žargonu a etikety.

Důmyslný backdoor se instaluje postupně

Útok začíná samorozbalovacím souborem, který obsahuje zajímavý dokument sloužící jako návnada a pokrčuje stažením a instalací komponenty backdooru. Ten se skládá ze špionážních komponent, které umožňují kopírování a šifrovaných dokumentů, vytváření snímků obrazovky nebo záznam stisknutých kláves.

Komponenta mající na starosti persistenci v systému se spouští každých 30 minut a je schopna instalovat i další moduly. Komunikace s řídícím serverem probíhá v intervalu 10 minut, tak aby bylo zajištěno brzké odeslání ukradených dat. Jednotlivé části backdooru se v souborovém systému snaží zůstat bez povšimnutí využitím slova „Google“ ve svém názvu.

„Operace této kyberšpionážní skupiny jsou intenzivnější než kdy dřív. Naše vyšetřování ukázalo, že malware se rychle vyvíjí, někdy i během týdnů. Rozdílné části v kódu Machete a základní infrastruktura nás vedou k názoru, že se jedná o španělsky hovořící skupinu,“ soudí Porolli.

Komponenty Machete podle závěrů společnosti ESET

Více technických detailů i podrobnou analýzu najdete v angličtině na blogu WeLiveSecurity.com.

O společnosti ESET

Společnost ESET již od roku 1987 vyvíjí bezpečnostní software pro domácí i firemní uživatele. Ten drží rekordní počet ocenění a díky němu může více než 100 milionů uživatelů bezpečně objevovat možnosti internetu. Široké portfolio produktů ESET pokrývá všechny populární platformy včetně mobilních a poskytuje neustálou proaktivní ochranu při minimálních systémových nárocích. ESET se stal první společností, která díky dlouhodobě vysoké úrovni ochrany získala 100 ocenění prestižního magazínu Virus Bulletin VB100. Za těmito úspěchy stojí zejména dlouhodobé investice do vývoje. Jen v České republice nalezneme tři vývojová centra a to v Praze, Jablonci nad Nisou a Brně. Společnost ESET má lokální zastoupení v Praze, celosvětovou centrálu v Bratislavě a disponuje rozsáhlou sítí partnerů ve více než 200 zemích světa.

Kontakt pro média:

Ondřej Šafář
PR manažer
tel: +420 233 090 264
tel: +420 776 234 218
ondrej.safar@eset.cz

 

Tereza Malkusová
Obsahová editorka
tel: +420 222 811 164
tel: +420 702 206 705
tereza.malkusova@eset.cz