Eksperci z firmy ESET odkryli atak skierowany głównie przeciwko separatystom działającym w samozwańczych republikach na wschodzie Ukrainy – w Donieckiej Republice Ludowej oraz Ługańskiej Republice Ludowej. Celem zagrożenia Prikormka, wykorzystywanego podczas operacji Groundbait, jest szpiegowanie m.in. ukraińskich separatystów i kradzież ich danych. Informacje zebrane przez analityków zagrożeń z firmy ESET wskazują, że atak został prawdopodobnie przeprowadzony z terytorium Ukrainy.
Oprócz konfliktu zbrojnego we wschodniej części Ukrainy, kraj ten boryka się ze zwiększoną liczbą ataków targetowanych, lub tak zwanych advanced persistent threats (APT). Po ataku z wykorzystaniem zagrożenia BlackEnergy, który pozbawił prądu setek tysięcy obywateli Ukrainy i operacji Potao Express, podczas której hakerzy wykradli wrażliwe dane chronione przez program szyfrujący TrueCrypt, eksperci z firmy ESET odkryli kolejny atak na Ukrainie – operację Groundbait.
Zagrożenie, które ESET wykrywa jako Win32/Prikormka, rozprzestrzenia się jako załącznik w wiadomościach mailowych (tzw. spear-phishing), co jest typową formą infekowania komputerów podczas ataków targetowanych, czyli skierowanych przeciwko konkretnej grupie osób lub instytucji. Maile te zostały starannie przygotowane – były zaadresowane nazwiskiem konkretnej ofiary, a załączone w nich dokumenty zazwyczaj dotyczyły obecnej sytuacji politycznej na Ukrainie i wojny w Donbasie. Po zainstalowaniu na komputerze ofiary, zagrożenie kradnie wrażliwe informacje i przesyła je na serwery znajdujące się w Kijowie i Mariupolu.
Kto stoi za atakiem?
Oprócz separatystów zamieszkujących wschodnią i południową Ukrainę, na swój cel atakujący wybrali również ukraińskich urzędników rządowych, ukraińskich polityków i dziennikarzy.
Wskazanie źródła ataku jest bardzo trudne z uwagi na brak jednoznacznych i niepodważalnych dowodów. Analiza wykazała, że atakujący prawdopodobnie działają wewnątrz Ukrainy. Kimkolwiek są, ich działania motywowane są politycznie. Świadczą o tym cele ataków – czyli głównie separatyści z Donieckiej i Ługańskiej Republiki Ludowej. Poza tymi danymi, wszelkie dalsze próby przypisania autorstwa ataku byłyby w tym momencie spekulacjami. Ważne, aby pamiętać, że celem ataków byli nie tylko separatyści. Dlatego nie można wykluczyć, że całą operację powinno się uznać za „false flag”, czyli tajną operację przeprowadzoną przez rząd lub organizację w taki sposób, aby obarczyć za nią inny kraj lub inny podmiot.
Operacja została nazwana przez ekspertów ESET Groundbait (co oznacza w języku polskim zanęta). Dlaczego? Podczas badań analitycy natknęli się, wśród dokumentów związanych z sytuacją polityczną Ukrainy, na jeden o nazwie prikormka.exe, co oznacza z języka rosyjskiego zanęta, z listą… cen zanęt na ryby.
Więcej informacji technicznych znajduje się w white paper (w języku angielskim) przygotowanym przez analityków ESET. Raport dostępny pod adresem: www.welivesecurity.com/wp-content/uploads/2016/05/Operation-Groundbait.pdf