Analitycy zagrożeń z firmy ESET odkryli trzy rodzaje złośliwego oprogramowania o nazwach: Quasar, Sobaken i Vermin, które wykorzystano do szpiegowania pracowników ukraińskich instytucji rządowych oraz kradzieży z ich komputerów poufnych danych, m.in. haseł i rządowych dokumentów. Kamil Sadkowski, analityk firmy ESET, podkreśla, że Ukraina coraz częściej staje się celem cyberataków.
To kolejny już atak wymierzony w Ukrainę. Cyberprzestępcy, odpowiedzialni za najnowszą operację szpiegującą ukraińskie instytucje, byli obserwowani przez ESET od połowy 2017 roku. Jednak dopiero na początku tego roku ich działalność została ujawniona przez ekspertów. Najnowsze analizy przeprowadzone przez badaczy z ESET dowodzą, że cyberprzestępcy nie zamierzają zaprzestać infiltrowania ukraińskich instytucji publicznych. Udoskonalają przy tym metody ataków szpiegujących, wykorzystując do tego narzędzia do zdalnej kontroli (RAT – Remote Access Trojan), wykonujące ich polecenia. Eksperci odkryli trzy różne typy takiego złośliwego oprogramowania: Quasar, Sobaken i Vermin. Były one wykorzystywane przez cyberprzestępców przeciwko różnym instytucjom jednocześnie. Na czym polegała wspomniana operacja szpiegowska wykorzystująca udoskonalone rodzaje wirusów?
- Cyberprzestępcy szkodliwe oprogramowanie wysyłają w wiadomościach e-mail w postaci zainfekowanego załącznika. Tytuł jednej z wiadomości sugerował, że w środku znajduje się dyrektywa dotycząca zapewnienia bezpieczeństwa personelowi wojskowemu armii ukraińskiej i członkom ich rodzin. Po otwarciu załączonego pliku, który tylko wydawał się być dokumentem pakietu Office, aktywowało się złośliwe oprogramowanie. Tworzyło ono nowy folder o nazwie: Adobe, Intel lub Microsoft. Następnie zapisywało w nim plik, który umożliwiał zdalne realizowanie poleceń hakera. Zagrożenie na komendę twórcy monitorowało naciśnięcia klawiszy, włączało nagrywanie dźwięku z mikrofonu, przesyłało wskazane pliki we wskazane miejsce sieci, czy robiło zrzut ekranu – wyjaśnia Kamil Sadkowski, analityk zagrożeń w ESET.
Cyberprzestępcy, zaprogramowali zagrożenie w taki sposób, aby było aktywne tylko na komputerach z zainstalowaną rosyjską lub ukraińską klawiaturą oraz z adresem IP znajdującym się na terenie tych dwóch krajów. Zagrożenia Quasar, Sobaken i Vermin miały się nie uruchamiać na komputerach, których głównym celem była automatyczna analiza złośliwego oprogramowanie. Nie jest wiadome, ile dokumentów z komputerów przedstawicieli ukraińskiego rządu wykradziono w ramach tej operacji szpiegowskiej. Brak też informacji kto stał za atakiem.
Ukraina regularnie atakowana przez cyberprzestępców
Jak podkreśla Kamil Sadkowski z ESET, Ukraina w ostatnich latach boryka się ze zwiększoną liczbą ataków skierowanych na instytucje rządowe, finansowe, czy sektor przemysłowy. Wystarczy przypomnieć atak BlackEnergy, który pozbawił prądu setek tysięcy obywateli Ukrainy, operację Potao Express, podczas której hakerzy wykradli wrażliwe dane poprzez specjalnie spreparowaną wersję programu szyfrującego TrueCrypt, czy operację Groundbait, której celem było szpiegowanie m.in. ukraińskich separatystów i kradzież ich danych. Jak wskazuje Jarosław Mackiewicz, kierownik zespołu ds. audytów IT w firmie DAGMA, punktem wyjścia do zwiększenia poziomu cyberbezpieczeństwa instytucji rządowych, firm i organizacji kluczowych dla gospodarki danego kraju z tzw. infrastruktury krytycznej, jest przeprowadzanie regularnych audytów bezpieczeństwa IT oraz testów socjotechnicznych dla pracowników. - Takie połączenie może zapobiec rozbudowanym cyberatakom, podobnym do tych na Ukrainie – wyjaśnia Mackiewicz.
Pełna analiza kampanii szpiegującej jest dostępna na oficjalnym blogu ESET – WeLiveSecurity.