Trójsky kôň Potao špehoval ukrajinskú vládu a vojenské organizácie

ESET ana­ly­zo­val ak­ti­vi­ty špio­náž­nej sku­pi­ny, kto­rá sto­jí za ce­lou ro­di­nou škod­li­vé­ho kó­du s náz­vom Win32/Po­tao. Bol pou­ži­tý na špe­ho­va­nie uk­ra­jin­skej vlá­dy, vo­jen­ských or­ga­ni­zá­cií a veľ­kej uk­ra­jin­skej spra­vo­daj­skej agen­tú­ry. Pros­tred­níc­tvom ne­ho bo­li ta­kis­to sle­do­va­ní čle­no­via MMM, ide o py­ra­mí­do­vú hru veľ­mi ob­ľú­be­nú v Rus­ku a na Uk­ra­ji­ne. Pod­ľa úda­jov ESE­Tu bol ten­to škod­li­vý kód za­chy­te­ný aj v Gru­zín­sku a Bie­lo­rus­ku.

Po­tao je ty­pic­ký ky­beršpio­náž­ny trój­sky kôň, kto­rý krad­ne hes­lá a cit­li­vé in­for­má­cie z in­fi­ko­va­ných za­ria­de­ní a za­sie­la ich na vzdia­le­ný server pou­ží­va­ný útoč­ní­kom. Ten­to špio­náž­ny škod­li­vý kód sa po pr­vý raz ob­ja­vil v ro­ku 2011, od­ke­dy ho pro­duk­ty ESE­Tu de­te­gu­jú. V ča­se pí­sa­nia toh­to textu sú však útoč­ní­ci stá­le ak­tív­ni.

In­fek­cia pre­bie­ha­la ro­zo­sie­la­ním phis­hin­go­vých e-mai­lov, kto­ré ob­sa­ho­va­li príl­ohu v po­do­be spus­ti­teľ­né­ho sú­bo­ru. Aby bol prí­jem­ca mo­ti­vo­va­ný príl­ohu ot­vo­riť, sú­bor mal iko­nu do­ku­men­tu Mic­ro­soft Word. Po je­ho ot­vo­re­ní sa obe­ti zob­ra­zil aj neš­kod­ný texto­vý do­ku­ment, nap­rík­lad do­ku­ment ar­mén­ske­ho mi­nis­ter­stva prá­ce a so­ciál­nych ve­cí ale­bo poz­ván­ka na svad­bu. V prí­pa­de cie­le­né­ho phis­hin­go­vé­ho úto­ku na čle­nov MMM sa zob­ra­zil do­ku­ment s in­for­má­ciou, že od­osie­la­teľ by sa chcel stať čle­nom tej­to py­ra­mí­dy a rád by in­ves­to­val 500-ti­síc rub­ľov. Hlav­ný tvor­ca MMM Sergej Mav­ro­di na svo­jom blo­gu v ro­ku 2012 uvie­dol, že niek­to za­sie­la sprá­vy v je­ho me­ne, kto­ré ob­sa­hu­jú link na škod­li­vú strán­ku.

Na Uk­ra­ji­ne pre­bie­ha­la in­fek­cia via­ce­rý­mi spô­sob­mi. Nap­rík­lad za­sie­la­ním SMS správ, kto­ré ob­sa­ho­va­li link na škod­li­vú strán­ku. „Má­me pre­to do­jem, že iš­lo o veľ­mi cie­le­ný útok, keď­že je­ho tvor­co­via mu­se­li poz­nať ce­lé me­ná a mo­bil­né čís­la svo­jich obe­tí," vy­svet­ľu­je Ró­bert Li­pov­ský, ana­ly­tik škod­li­vé­ho kó­du zo spo­loč­nos­ti ESET. Čle­nom vlá­dy, vo­jen­ských zlo­žiek a za­mes­tnan­com spra­vo­daj­skej agen­tú­ry bol za­sie­la­ný ta­kis­to e-mail s príl­ohou vo for­me spus­ti­teľ­né­ho sú­bo­ru, kto­rý mal iko­nu do­ku­men­tu Mic­ro­soft Word. Náz­vy pril­ože­ných do­ku­men­tov ma­li v obe­ti vzbu­diť zá­ujem tie­to príl­ohy ot­vo­riť. Iš­lo nap­rík­lad o do­ku­men­ty s náz­vom Ta­buľ­ka väz­ňov Oz­bro­je­ných síl Uk­ra­ji­ny ale­bo Z vo­jen­skej služ­by os­lo­bo­de­né oso­by. Po ich ot­vo­re­ní sa zob­ra­zil texto­vý sú­bor, kto­rý vy­ze­ral poš­ko­de­ný.

„Na­ša ana­lý­za mal­vé­ru Po­tao od­ha­li­la veľ­mi za­ují­ma­vé pre­po­je­nie s rus­kou ver­ziou mo­men­tál­ne už neexis­tu­jú­ce­ho a po­pu­lár­ne­ho open sour­ce šif­ro­va­cie­ho sof­tvé­ru TrueC­rypt," ho­vo­rí Li­pov­ský. Sof­tvér stiah­nu­tý zo strán­ky truec­ryp­trus­sia.ru ob­sa­ho­val škod­li­vý kód Win32/Po­tao. Nie kaž­dá ver­zia stiah­nu­té­ho šif­ro­va­cie­ho sof­tvé­ru však bo­la in­fi­ko­va­ná. Jej škod­li­vá ver­zia sa stiah­la len do za­ria­de­ní vy­ty­po­va­ných osôb. „To­to je ďal­ší dô­kaz pre ná­zor, že ope­rá­cia je ve­de­ná pro­fe­sio­nál­nym gan­gom, kto­rý se­lek­tív­ne úto­čí na vy­bra­né obe­te," do­dá­va Li­pov­ský.

Gang za ope­rá­ciou Po­tao uká­zal, že dl­ho­do­bá a efek­tív­na ky­beršpio­náž mô­že byť us­ku­toč­ne­ná vďa­ka pre­mys­le­ným tri­kom a so­ciál­ne­mu in­ži­nier­stvu, a to aj bez pot­re­by vy­uži­tia exploi­tov. Kom­plet­nú ana­lý­zu Ope­rá­cie Po­tao náj­de­te v do­ku­men­te Ope­ra­tion Po­tao Express: Ana­ly­sis of a cy­ber-es­pio­na­ge tool­kit.


Ohodnoťte článok:
 
 
 

24 hodín

týždeň

mesiac

Najnovšie články

EÚ schvá­li­la sys­tém Pri­va­cy Shield na ochra­nu európ­skych dát na ame­ric­kých server­och
Európska únia ukončila rokovania s americkou stranou týkajúce sa odovzdávania osobných údajov spoločnostiam sídliacim v USA. čítať »
 
Hac­ke­ri ov­lád­li dro­ny NA­SA a plá­no­va­li ha­vá­riu Glo­bal Hawk
Hackerskej skupine vystupujúcej pod názvom AnonSec sa podarilo nabúrať do špeciálneho programu na ovplyvňovanie počasia, nad ktorým má v súčasnosti kontrolu americká NASA. čítať »
 
Alian­cii Fair-play a plat­for­me Slo­ven­sko.Di­gi­tal sa ne­poz­dá­va­jú šty­ri IT pro­jek­ty mi­nis­terstiev
Neziskové občianske združenie Aliancia Fair-play (AFP) a Platforma Slovensko.Digital žiadajú ministerstvá vnútra, dopravy a školstva, aby zastavili a prehodnotili obstarávania štyroch veľkých IT projektov, ktoré v rezortoch momentálne prebiehajú. čítať »
 
Mô­že sa zo zmu­to­va­nej zi­ky stať glo­bál­na hroz­ba?
Vírus zika sa začal rýchlo šíriť po celom svete. V teplých oblastiach oboch amerických kontinentov, kam sa dostal začiatkom minulého roka, už možno hovoriť o pandémii. čítať »
 
Jad­ro­vé zbra­ne ma­jú ochrá­niť Zem pred prí­pad­ným ar­ma­ge­do­nom
Aj keď sa o jadrových zbraniach hovorí zväčša v negatívom svetle, vedci v nich paradoxne vidia efektívny spôsob na záchranu Zeme pred prípadnou hrozbou. čítať »
 
Di­gi­tál­na bez­peč­nosť v ro­ku 2016: Inter­net ve­cí, mo­bil­né za­ria­de­nia a ochra­na de­tí
ESET každý rok pripravuje svoj prehľad bezpečnostných tém, ktoré budú v najbližších mesiacoch trápiť bežných používateľov alebo firmy a organizácie. čítať »
 
Len 17-roč­ný mla­dík vy­na­šiel ven­ti­lá­to­ro­vý sys­tém brá­nia­ci ší­re­niu mik­ró­bov v lie­tad­le
Chytiť nejakú chorobu na palube lietadla nie je nič príjemné. Pritom mnohé vírusy nebezpečných chorôb, ako je napr. SARS či vtáčia chrípka, sa v nedávnej minulosti šírili po svete práve prostredníctvom lietadiel. čítať »
 
ESET pri­dá­va do kon­zo­ly vzdia­le­nej sprá­vy ma­na­žo­va­nie iP­ho­nov a iPa­dov
ESET vydáva ESET Virtualization Security. Toto nové riešenie pre VMware vShield nevyžadujúce nasadenie agenta kombinuje využitie ESET Virtualization Security s konzolou vzdialenej správy ESET Remote Administrator tak, aby poskytovalo ochranu oceňovaného skenovacieho jadra spolu s osvedčenou vzdialenou správou. čítať »
 
 
 
  Zdieľaj cez Facebook Zdieľaj cez Google+ Zdieľaj cez Twitter Zdieľaj cez LinkedIn Správy z RSS Správy na smartfóne Správy cez newsletter