Apple Facebook Google Microsoft badania bezpieczeństwo patronat DI prawa autorskie serwisy społecznościowe smartfony

Cyberprzestępcy ponownie szpiegują ukraiński rząd

18-07-2018, 20:26

Analitycy zagrożeń odkryli trzy rodzaje złośliwego oprogramowania o nazwach: Quasar, Sobaken i Vermin. Wykorzystano je do szpiegowania pracowników ukraińskich instytucji rządowych oraz kradzieży z ich komputerów poufnych danych, m.in. haseł i rządowych dokumentów.

Cyberprzestępcy, odpowiedzialni za najnowszą operację szpiegującą ukraińskie instytucje, byli obserwowani przez ESET od połowy 2017 roku. Jednak dopiero na początku tego roku ich działalność została ujawniona przez ekspertów. Najnowsze analizy przeprowadzone przez badaczy dowodzą, że cyberprzestępcy nie zamierzają zaprzestać infiltracji ukraińskich instytucji publicznych. Udoskonalają przy tym metody ataków szpiegujących, wykorzystując do tego narzędzia do zdalnej kontroli (RAT – Remote Access Trojan). Eksperci odkryli trzy różne typy takiego złośliwego oprogramowania: Quasar, Sobaken i Vermin. Były one wykorzystywane przez cyberprzestępców przeciwko różnym instytucjom jednocześnie. 

Kamil Sadkowski, analityk zagrożeń w ESET, tłumaczy, na czym polegała operacja szpiegowska wykorzystująca udoskonalone rodzaje wirusów. Wskazuje on na fakt, że cyberprzestępcy szkodliwe oprogramowanie wysyłają w wiadomościach e-mail w postaci zainfekowanego załącznika. Tytuł jednej z wiadomości sugerował, że w środku znajduje się dyrektywa dotycząca zapewnienia bezpieczeństwa personelowi wojskowemu armii ukraińskiej i członkom ich rodzin. Po otwarciu załączonego pliku, który tylko wydawał się być dokumentem pakietu Office, aktywowało się złośliwe oprogramowanie. Tworzyło ono nowy folder o nazwie: Adobe, Intel lub Microsoft. Następnie zapisywało w nim plik, umożliwiający zdalne realizowanie poleceń przestępcy. Zagrożenie na komendę twórcy monitorowało naciśnięcia klawiszy, włączało nagrywanie dźwięku z mikrofonu, przesyłało wskazane pliki we wskazane miejsce sieci, czy robiło zrzut ekranu.

Cyberprzestępcy, zaprogramowali zagrożenie w taki sposób, aby było aktywne tylko na komputerach z zainstalowaną rosyjską lub ukraińską klawiaturą oraz z adresem IP znajdującym się na terenie tych dwóch krajów. Zagrożenia Quasar, Sobaken i Vermin miały się nie uruchamiać na komputerach, których głównym celem była automatyczna analiza złośliwego oprogramowanie. Nie jest wiadome, ile dokumentów z komputerów przedstawicieli ukraińskiego rządu wykradziono w ramach tej operacji szpiegowskiej. Brak też informacji kto stał za atakiem.

Jak podkreśla Kamil Sadkowski z ESET, Ukraina w ostatnich latach boryka się ze zwiększoną liczbą ataków skierowanych na instytucje rządowe, finansowe, czy sektor przemysłowy. Wystarczy przypomnieć atak BlackEnergy, który pozbawił prądu setek tysięcy obywateli Ukrainy, operację Potao Express, podczas której hakerzy wykradli wrażliwe dane poprzez specjalnie spreparowaną wersję programu szyfrującego TrueCrypt, czy operację Groundbait, której celem było szpiegowanie m.in. ukraińskich separatystów i kradzież ich danych. Jak wskazuje Jarosław Mackiewicz, kierownik zespołu ds. audytów IT w firmie DAGMA, punktem wyjścia do zwiększenia poziomu cyberbezpieczeństwa instytucji rządowych, firm i organizacji kluczowych dla gospodarki danego kraju z tzw. infrastruktury krytycznej, jest przeprowadzanie regularnych audytów bezpieczeństwa IT oraz testów socjotechnicznych dla pracowników. 

Źródło: DAGMA


Aktualności | Porady | Gościnnie | Katalog
Bukmacherzy | Sprawdź auto | Praca

              *