Image
4.9.2019 0 Comments

Útočníci kradnú inštitúciám vo Venezuele gigabajty tajných dát

V uplynulých dňoch experti ESETu objavili aktívnu kybernetickú špionáž zameranú na viaceré významné ciele v Latinskej Amerike. Útočníci si za svoj cieľ vybrali najmä venezuelské vládne inštitúcie (75 percent útokov), no zaujímajú ich aj tajné dokumenty Ekvádorskej armády (16 percent) a organizácii v Kolumbii (7 percent) a Nikarague (2 percentá).

Útočiaca skupina si na svoje aktivity vybrala turbulentné obdobie. V regióne totiž rastie napätie a vyhrotené sú aj vzťahy medzi Venezuelou a Spojenými štátmi americkými. Útočníci pritom každý týždeň ukradnú gigabajty tajný dokumentov. Využívajú na to ako techniky sociálneho inžinierstva, tak aj špecializované špionážne nástroje s názvom Machete (mačeta).

Z toho ako postupujú je tiež jasné, že majú roky skúsenosti s podobnými aktivitami v Latinskej Amerike. Vďaka nim zdokonalili svoju taktiku a detailne poznajú svoje ciele, čo im umožňuje infiltrovať sa do ich komunikácie, ale aj lepšie odhadnúť, ktoré dokumenty majú najväčšiu hodnotu.

Útočníci sa zameriavajú na rôzne typy súborov vrátane špeciálnych druhov, ktoré používa softvér geografických informačných systémov (GIS). Skupina sa osobitne zaujíma aj o súbory, ktoré opisujú navigačné trasy a určovanie polohy prostredníctvom vojenských geografických súradníc.

Ako funguje Machete
Skupina zasiela úzkemu okruhu svojich obetí veľmi konkrétne e-maily, ktoré sa menia v závislosti od toho, kto je adresátom. Aby zvýšili kredibilitu svojich správ, operátori Machete používajú ako prílohy skutočné súbory, ktoré už z daných organizácii v minulosti ukradli. Ako príklad môžu slúžiť „radiogramas“ (rádiogramy), utajené armádne dokumenty používané v rámci venezuelskej armády. Tie v kombinácii so správne zvoleným vojenským žargónom a etiketou slúžia ako základ pre veľmi presvedčivé phishingové e-maily.

Ak obeť otvorí prílohu, do počítača sa stiahnu škodlivé súbory. Tie potom na infikovanom zariadení dokážu sledovať aktivity používateľa, zaznamenávať stlačené klávesy, robiť screenshoty obrazovky, detegovať novo pripojené disky a kopírovať z nich súbory. Útočníkov okrem Microsoft Office dokumentov zaujímajú aj zálohované súbory na počítačoch obetí, kryptografické kľúče, vektorové obrázky a súbory geografických informačných systémov (topografické mapy, navigačné cesty a podobne).

Mapa s obeťami až na úroveň budovy
Jeden zo škodlivých komponentov dokonca zbiera údaje aj o okolitých Wi-Fi sieťach a zasiela ich do Mozilla Location Service API. Táto aplikácia poskytuje geolokačné koordináty, ak má k dispozícii aj iné zdroje informácií – napríklad Bluetooth vysielač, BTS stanice alebo Wi-Fi.

Z týchto dát dokáže malware vygenerovať zemepisnú šírku a dĺžku a použiť ich na vytvorenie URL adresy v Google mapách. Útočníkovi tak v prípade dostatku dát dokáže veľmi presne ukázať, kde sa obeť nachádza, a to s presnosťou až na úroveň konkrétnej budovy.

Infikované zariadenie taktiež obsahuje špeciálny kód, ktorý dovoľuje útočníkovi z zariadenia skopírovať dáta aj priamo, teda v prípade, že by k nemu získal fyzický prístup. Kód si pritom sám skontroluje, či sa v koreňovom adresári skenovaného zariadenia nachádza súbor s určeným názvom a ak áno, skopíruje a zašifruje si do skrytého priečinku celý obsah zariadenia.

Skupina operátorov, ktorá používa Machete hovorí španielsky a je veľmi aktívna. Funguje minimálne od roku 2010. Dokáže pritom úspešne útočiť aj napriek tomu, že už niekoľko výskumníkov vydalo technické opisy jej škodlivých kódov. Organizáciám, na ktoré cieli, sa nedarí aplikovať bezpečnostné politiky a zvýšiť bezpečnostné povedomie tak, aby ich zamestnanci týmto útočníkom nenaleteli.

Viac informácií o tomto útoku nájdete v dokumente spoločnosti ESET „Machete just got sharper“.

Zobrazit Galériu

Nechajte si posielať prehľad najdôležitejších správ emailom

Mohlo by Vás zaujímať

ITPro

Made in Slovakia: Predstavujeme zaujímavé inovácie

12.02.2020 14:55

Lepšia obec 2 O projekte Lepšia obec sme už informovali pred rokom. Odvtedy sa projekt rozvinul a pribudla k nemu aj mobilná aplikácia, uľahčujúca obyvateľom komunikáciu s mestským úradom. Cieľom pro ...

ITPro

Python / 4. časť: Efektívny lovec

12.02.2020 14:41

Reťazce (str) Reťazce (strings) patria medzi tzv. zložené (compound) dátové typy, a to z dôvodu, že obsahujú viacero menších prvkov – konkrétne znakov (characters), ktoré zoskupujú do jedného celku. O ...

ITPro

Stealth Falcon: Doposiaľ neznámy backdoor kradne dáta na Blízkom východe

30.12.2019 14:18

Počuli ste už niekedy o skupine útočníkov Stealth Falcon? Prvýkrát sa o nej verejne hovorilo ešte v roku 2012 a jej hlavnými cieľmi sú politickí aktivisti a novinári na Blízkom východe. Odvtedy sa vša ...

Žiadne komentáre

Vyhľadávanie

Hackkosice_2020

Najnovšie videá