Sliedrecht, 5 augustus 2019 – ESET-onderzoekers hebben een doorlopende cyberspionagecampagne tegen hooggeplaatste doelwitten in Latijns-Amerika ontdekt. De meerderheid van de aangevallen computers behoort tot het Venezolaanse leger. Tot de overige doelwitten behoren verschillende instanties – van politie en educatie tot buitenlandse zaken. De meerderheid van de aanvallen, wel 75%, heeft in Venezuela plaatsgevonden. Ecuador was het tweede grootste doelwit: daar werd 16% van de aanvallen uitgevoerd. De Machete-groep achter deze aanvallen heeft elke week gigabytes aan vertrouwelijke documenten gestolen. De campagne is nog steeds zeer actief en wordt gevoerd op een moment van verhoogde spanning, zowel regionaal als internationaal tussen Venezuela en de Verenigde Staten van Amerika.
ESET-onderzoekers hebben de nieuwe versie van Machete (de toolset van de groep), die een jaar geleden voor het eerst werd gezien, gevolgd. In slechts drie maanden, tussen maart en mei 2019, zag ESET meer dan 50 computers die met Command & Control-servers van de cyberspionnen communiceerden. De aanvallers brengen met regelmaat veranderingen aan in de malware, diens infrastructuur en de spearphishing-campagnes.
“De aanvallers van Macheter gebruiken effectieve spearphishing-technieken. Door de lange duur van de aanvallen, gericht op Latijns-Amerikaanse landen, hebben ze veel informatie kunnen vergaren en hun tactieken door de jaren heen kunnen verfijnen. Ze kennen hun doelwitten, weten hoe ze niet opvallen tussen normale communicaties en welke documenten het meest waardevol zijn om te stelen,” zegt ESET-onderzoeker Matias Porolli. “De aanvallers exfiltreren gespecialiseerde bestandstypen die gebruikt worden door geografische informatiesystemen (GIS) software. De groep is voornamelijk geïnteresseerd in bestanden die navigatieroutes en positionering middels militaire rasters beschrijven.”
De Machete-groep stuurt zeer specifieke phishing rechtstreeks naar hun slachtoffers, waarbij de inhoud verandert van doelwit tot doelwit. Om onbedachte slachtoffers in de val te lokken, gebruiken de beheerders van Machete echte documenten die ze eerder gestolen hebben, zoals geclassificeerde militaire documenten. Zo gebruiken ze ook “Radiogramas” (radiogrammen) die binnen het leger voor communicatiedoeleinden wordt gebruikt. Aanvallers maken daar misbruik van zodat ze, in combinatie met hun kennis van militair jargon en etiquette, overtuigende phishingmails kunnen opstellen.
De aanval begint met een bestand dat zichzelf uitpakt waarin een document als lokaas is aangeleverd. Daarna gaat de aanval verder met downloaden en installatie van de backdoor-componenten verder. De backdoor bestaat uit een spionagecomponent dat voor onbepaalde tijd draait, documenten kopieert en versleutelt, screenshots maakt en toetsaanslagen vastlegt. Het persistente component draait elke 30 minuten en installeert andere componenten. Daarbij wordt communicatie met de aanvallers elke tien minuten vastgesteld zodat de gestolen data via de Command & Control-server verstuurd kan worden. Alle componenten misbruiken “Google” in hun bestandsnamen om hun kwade aard te verhullen.
“De activiteiten van de Machete-groep zijn sterker dan ooit en ons onderzoek heeft laten zien dat ze zich snel ontwikkelen, soms in slechts een paar weken. Verschillende elementen in de code van Machete en de onderliggende infrastructuur leiden ertoe dat we vermoeden dat dit een Spaanstalige groep is,” voegt Porolli toe.
Lees voor meer informatie de blog “Sharpening the Machete” en de whitepaper “Machete just got sharper: Venezuela’s military under attack” op WeLiveSecurity.com.
Over ons
Al 30 jaar lang ontwikkelt ESET® toonaangevende IT-beveiligingssoftware en -diensten voor bedrijven en consumenten over de hele wereld. Inmiddels is ESET uitgegroeid tot het grootste IT-security bedrijf van de Europese Unie met oplossingen variërend van endpoint en mobile security, tot encryptie en tweefactorauthenticatie. ESET beschermt en monitort 24/7 op de achtergrond en werkt beveiliging in real-time bij om gebruikers veilig te houden en bedrijven zonder onderbreking te laten werken. Gesteund door R&D-centra over de hele wereld, is ESET het eerste IT-beveiligingsbedrijf dat 100 Virus Bulletin VB100-awards heeft verdiend, waarmee elke afzonderlijke "in-the-wild" malware zonder onderbreking werd geïdentificeerd sinds 2003. Ga voor meer informatie naar www.eset.com/nl of volg ons op LinkedIn, Facebook en Twitter.