Výskumníci bezpečnostnej spoločnosti ESET objavili doteraz neznámy škodlivý kód, ktorý kradne dokumenty a je využívaný na kyberšpionáž. ESET dokázal tento program, svojimi tvorcami pomenovaný Crutch, priradiť k neslávne známej kyberskupine. Tá medzi svoje obete radí množstvo vládnych a diplomatických cieľov v rozličných krajinách.
Škodlivý kód bol používaný od roku 2015 minimálne do začiatku roka 2020. ESET videl Crutch v sieti ministerstva zahraničných vecí členskej krajiny Európskej únie, čo naznačuje, že táto rodina škodlivého kódu je využívaná len voči veľmi špecifickým cieľom. Tieto nástroje boli vytvorené na kradnutie citlivých dokumentov a iných súborov na cloudové Dropbox účty kontrolované kyberskupinou. Dropbox je online služba určená na ukladanie a zdieľanie súborov.
“Hlavnou škodlivou činnosťou je kradnutie dokumentov a iných citlivých súborov. Vyspelosť útokov a technické detaily tohto objavu naďalej posilňujú dojem, že skupina má prístup k výrazným zdrojom, vďaka ktorým dokáže pracovať s tak veľkým a rozmanitým arzenálom,” hovorí Matthieu Faou, výskumník spoločnosti ESET, ktorý skúma aktivity skupiny. „Okrem toho, Crutch sa dokáže dostať do siete zneužitím legitímnej infraštruktúry – v tomto prípade Dropboxu. Obchádza tak bezpečnostné vrstvy, aby mohol kradnúť údaje a získavať príkazy od svojich operátorov,“ dodáva Faou.
Pri skúmaní útoku na ministerstvo zahraničných vecí objavili výskumníci ESETu ZIP súbory nahrané na Dropbox účet útočníkov. Tieto súbory obsahovali príkazy pre škodlivý kód, ktoré do Dropboxu nahrali samotní útočníci. Prostredníctvom týchto príkazov mohli na diaľku riadiť a kontrolovať to, čo škodlivý kód na zariadeniach svojich obetí robil.
Aby si ESET spravil hrubý obraz o pracovnom čase operátorov tejto skupiny, analytici exportovali tie časy, v ktorých skupina nahrávala ZIP súbory do svojich Dropbox účtov. Na to výskumníci zozbierali 506 odlišných časových záznamov. Toto mohlo ukázať, kedy pracovali operátori skupiny a nie kedy boli aktívne zariadenia obetí. Na základe týchto údajov sa ESET domnieva, že operátori pracujú v časovej zóne UTC+3. Výskumníci ESETu dokázali identifikovať veľmi silné prepojenia medzi škodlivým kódom, ktorý zariadenia obetí infikuje samotným Crutchom a iným škodlivým kódom, ktorý sa využíval na kradnutie rôznych údajov.
Čítajte aj:
Plošné testovanie prináša tisícky prípadov, obísť opatrenia sa neoplatí
zdroj eset
foto ilustračné
Spravodajstvo Región O počasí Komentár Vlastnými slovami Zaujímavosti IT novinky O autách Koronavírus na Slovensku
