Kľúčové zistenia:
- Ukrajina je miestom, kde sa tento škodlivý kód vyskytuje najviac, je aktívny od roku 2008.
- Primárnym cieľom operácie Groundbait sú protivládni separatisti v samovyhlásenej Doneckej ľudovej republike a Luhanskej ľudovej republike na východnej Ukrajine.
- Existuje však aj mnoho iných cieľov, sú nimi napríklad ukrajinskí vládni predstavitelia, ukrajinskí politici a ukrajinské médiá.
- Útočníci pravdepodobne operujú priamo z Ukrajiny. Časová pečiatka pri použitom kóde naznačuje, že útočníci pracujú vo východoeurópskej časovej zóne, väčšinou od 8:00 do 18:00.
- Kompletnú analýzu nájdete na webe WeLiveSecurity.com (PDF).
Výskumníci bezpečnostnej spoločnosti ESET odhalili škodlivý kód, ktorý unikal pozornosti antimalware výskumníkov minimálne od roku 2008. Tento malware, ktorý ESET deteguje ako Win32/Prikormka, je používaný na kyberšpionážne aktivity primárne zacielené na protivládnych separatistov samovyhlásenej Doneckej ľudovej republiky a Luhanskej ľudovej republiky. Moduly tohto škodlivého kódu dokážu kradnúť dokumenty z infikovaného zariadenia a taktiež z externých pamäťových jednotiek pripojených k počítaču cez USB, zaznamenávať stlačené klávesy, zvuky cez mikrofón počítača a taktiež hovory uskutočňované cez Skype, geograficky lokalizovať infikované zariadenie a zhromažďovať informácie o počítači (napríklad stav batérie v laptope alebo verziu operačného systému a používaný bezpečnostný softvér). Dokážu však zbierať aj heslá uložené v aplikáciách, napríklad v internetových prehliadačoch Google Chrome, Opera a Mozilla Firefox. Zameriavajú sa však aj na prehliadače Yandex a Rambler, ktoré sú populárne v rusky hovoriacich krajinách. Z výskumu ESETu tiež vyplýva, že útočníci plynulo ovládajú ruský a ukrajinský jazyk a taktiež majú prehľad o aktuálnej politickej situácii na Ukrajine. „Spolu s ozbrojeným konfliktom vo východnej Ukrajine sa vo vnútri krajiny udialo niekoľko cielených kyberútokov, takzvaných Advanced Persistent Threats. Objavili sme napríklad niekoľko kampaní, ktoré používajú teraz už neslávne známu rodinu škodlivého kódu BlackEnergy, ktorých výsledkom bol masívny výpadok elektrického prúdu. V operácii Groundbait je však použitý doposiaľ neznámy škodlivý kód,“ hovorí Róbert Lipovský, výskumník škodlivého kódu zo spoločnosti ESET. Škodlivý kód použitý útočníkmi sa šíril väčšinou cielenými phishingovými e-mailmi, ktoré obsahovali návnadový dokument so zaujímavým názvom. Práve jeho názov mal obeť naviesť k tomu, aby dokument otvorila. Jej počítač sa následne infikoval. „Počas nášho výskumu sme videli množstvo príkladov, každý s identifikačným číslom, ktoré kampani pridelili jej tvorcovia a taktiež s viacerými zaujímavými názvami nástrahových dokumentov, ktoré mali vzbudiť pozornosť obete,“ opisuje Anton Čerepanov, výskumník škodlivého kódu zo spoločnosti ESET. Celá operácia Groundbait alebo Prikormka bola ESETom pomenovaná podľa konkrétnej kampane, ktorú tento škodlivý kód použil na propagáciu. Jej súčasťou bol totiž dokument obsahujúci cenník návnad pre ryby, po anglicky Groundbait a po rusky Prikormka. „Výber tohto návnadového dokumentu samotnými útočníkmi sme doteraz nedokázali vysvetliť,“ vysvetľuje Lipovský. Ostatné návnadové dokumenty však mali názov spojený s aktuálnou geopolitickou situáciou na Ukrajine a s vojnou v Donbase. Napríklad „Od Rusa: Schéma demilitarizovanej zóny v Šyrokyne“ alebo „Od Rusa: Adresár ministerstiev – aktualizované“. Iné návnadové dokumenty naznačujú, že útočníci mohli cieliť aj na ukrajinskú nacionalistickú stranu Pravý sektor a niekoľko vysoko postavených osôb, ktoré však ESET nedokáže priamo identifikovať. ESET dodnes identifikoval viac než 80 odlišných identifikačných čísiel kampaní. Jedno identifikačné číslo je pritom väčšinou použité proti jednému cieľu, ktorým môže byť konkrétna osoba, organizácia alebo skupina ľudí. Ako je pri cielených útokoch bežné, pomenovať zdroj tohto útoku je komplikované, pretože presvedčivé dôkazy sa hľadajú ťažko. Výskum ESETu ukázal, že útočníci operujú priamo z Ukrajiny. Nech už sú kýmkoľvek, je pravdepodobne rozumné predpokladať, že táto kyberšpionážna operácia je politicky motivovaná. “Akýkoľvek ďalší pokus priradiť tento útok k niekomu by bol čistou špekuláciou. Okrem separatistov sú medzi obeťami aj ukrajinskí vládni predstavitelia, politici a novinári. Treba brať do úvahy aj možnosť operácie pod falošnou vlajkou,” dodáva Lipovský. Na Ukrajine je v poslednej dobe škodlivý kód používaný pri viacerých vysokoprofilových útokoch. Len v decembri zostalo jeden a pol milióna obyvateľov západnej Ukrajiny bez elektrického prúdu a to následkom kybernetického útoku na spoločnosti distribuujúce elektrinu, pri ktorej útočníci použili škodlivý kód BlackEnergy. Na špehovanie ukrajinskej vlády, vojenských organizácií a veľkej ukrajinskej spravodajskej agentúry bol zase použitý škodlivý kód Win32/Potao. 
O spoločnosti ESET Spoločnosť ESET je svetovým výrobcom bezpečnostného softvéru pre firemnú klientelu a domácnosti. Je lídrom na trhu proaktívnej detekcie počítačových hrozieb. Vďaka technológii Live Grid® využíva ESET dáta od dobrovoľných používateľov z celého sveta, a tak okamžite reaguje na nové hrozby. ESET drží vďaka zisku 80. ocenenia VB100 v júli 2013 rekord v počte týchto ocenení, ktoré udeľuje britský Virus Bulletin, vysoko-rešpektovaná nezávislá testovacia organizácia. ESET sídli v Bratislave, regionálne pobočky má v Prahe, ČR; Jene, Nemecko; San Diegu, USA; Buenos Aires, Argentína; Sydney, Austrália a Singapure. Výskumné centrá ESET pre analýzu malware sú okrem Bratislavy, aj v San Diegu, v Prahe, poľskom Krakove a kanadskom Montreale. ESET má zastúpenie vo viac ako 180 krajinách sveta. Firma už jedenásť rokov za sebou patrí podľa rebríčka Deloitte Technology Fast 500 EMEA medzi najrýchlejšie rastúce technologické spoločnosti v regióne Európy, Blízkeho východu a Afriky. Týždenník Trend ocenil ESET trikrát za sebou titulom Firma roka.