Špionáž na úrovni národných spravodajských agentúr a vojenských spravodajských služieb nie je ničím novým, obzvlášť ak sú v hre záujmy národnej bezpečnosti. Spoločnosť Eset v týchto dňoch informovala o aktivitách špionážnej skupiny, ktorá je pôvodcom škodlivého kódu s názvom Win32/Potato. Práve on bol použitý na sledovanie činnosti členov ukrajinskej vlády, vojenských organizácií a veľkej ukrajinskej spravodajskej agentúry. Pôvodca malvéru síce nie je oficiálne známy, no okrem Ukrajiny sa snažil získavať informácie aj v Gruzínsku a Bielorusku.
Trójsky kôň kradol citlivé údaje a posielal na vzdialený server
Objavené škodlivé kódy sú typickými kyberšpionážnymi trójskymi koňmi, ktoré kradnú heslá a citlivé informácie zo zariadení a následne ich preposielajú na vzdialené servery. S rovnakým trójskym koňom sa bezpečnostní analytici stretli už v roku 2011 a aj po štyroch rokoch je naďalej aktívny. Navyše je pravdepodobné, že jeho pôvodcom je stále tá istá organizácia.
Foto: Eset
Cestu k obetiam si útočníci našli cez podvodné e-maily, ktoré obsahovali prílohu so spustiteľným súborom s ikonou dokumentu Microsoft Word. Ak ju príjemca otvoril, zobrazil sa mu klasický textový dokument s rôznorodým obsahom, avšak jeho systém bol v tom momente aj infikovaný. Touto formou sa útočníci pokúsili infiltrovať do počítačov členov vlády, vojenských zložiek a zamestnancov spravodajskej agentúry. Názvy súborov mali u príjemcov vzbudiť dojem, že ide o relevantný súbor s dôležitým obsahom. Mali napríklad názov “Tabuľka väzňov Ozbrojených síl Ukrajiny” alebo “Z vojenskej služby oslobodené osoby”. Textový súbor obsahoval buď iný obsah, alebo po otvorení vzbudoval dojem, že je poškodený.
Útočníci vedeli čo robia. Svoje obete si vytipovali
Na Ukrajine sa malvér šíril aj iným spôsobom. Napríklad cez SMS správy s odkazom na škodlivú stránku. “Máme dojem, že išlo o veľmi cielený útok, keďže jeho tvorcovia museli poznať celé mená a mobilné čísla svojich obetí,” tvrdí Róbert Lipovský z Esetu. Analýza malvéru údajne naznačuje prepojenie s ruskou verziou už neexistujúceho šifrovacieho softvéru TrueCrypt. Softvér stiahnutý z ruskej stránky šifrovacieho softvéru obsahoval práve tento škodlivý kód. Nie každá verzia šifrovacieho softvéru ale bola aj infikovaná. Škodlivá verzia sa stiahla len do zariadení konkrétnych osôb. “Toto je ďalší dôkaz, že operáciu zrejme riadil profesionálny gang, ktorý selektívne útočí na vybrané obete,” doplnil Lipovský.