Maczeta atakuje! O tym, jak hakerzy wykradali dane wenezuelskiemu wojsku

Następny artykuł
2019-08-05

Eksperci ds. cyberbezpieczeństwa firmy ESET upublicznili informacje na temat zaawansowanego zagrożenia komputerowego o nazwie „Machete”, biorącego na cel organizacje wojskowe w Ameryce Południowej. W ramach swojej działalności, twórcy wspomnianego wirusa byli w stanie każdego tygodnia wykradać gigabajty danych o znaczeniu strategicznym dla bezpieczeństwa, głównie Wenezueli i innych krajów Ameryki Południowej. Działanie zagrożenia mogło zaostrzać sytuację polityczną w regionie. Sprawę komentuje Kamil Sadkowski, starszy analityk zagrożeń z krakowskiego laboratorium antywirusowego firmy ESET.

Badacze ds. cyberbezpieczeństwa z ESET odkryli wzmożoną aktywność ze strony „Machete” – kampanii wymierzonej w wysokoprofilowe organizacje militarne z Ameryki Południowej. W okresie od marca do maja bieżącego roku przestępcy byli w stanie wykraść tajne dokumenty z ponad 50 zainfekowanych komputerów, spośród których ponad połowa należała do wenezuelskiego wojska. Kampania swoją skuteczność zawdzięcza sprytowi i wiedzy twórców samego zagrożenia, którzy nie tylko rozbudowywali i aktualizowali narzędzie ataku, ale także posługiwali się przy tym żargonem wojskowym.

Do rozprzestrzeniania złośliwego oprogramowania wykorzystywany był tzw. spear phishing, czyli spersonalizowane wiadomości, wykorzystujące socjotechnikę oraz zdobyte wcześniej informacje na temat ofiary, by nakłonić ją do wykonania danej czynności. Na przestrzeni kilku lat (kampania pozostaje aktywna przynajmniej od 2010 roku) hakerzy bardzo dobrze poznali swoje ofiary. Udało im się dokładnie rozeznać w funkcjonowaniu środowiska wojskowego krajów Ameryki Południowej. Dzięki temu byli w stanie podszyć się pod oficjalną komunikację i w ten sposób zainfekować komputery niczego niespodziewających się ofiar. Wykorzystywali w tym celu charakterystyczny dla wojska sposób komunikacji, ale również wykradzione (nawet tego samego dnia!) z wojsku dokumenty. Spreparowane przez atakujących materiały były przesyłane w formie samorozpakowującego się archiwum, które po uruchomieniu przez ofiarę, pobierało i instalowało na komputerze złośliwy program, tzw. backdoor. Składał się on z kilku komponentów, realizujących różne funkcje. Spośród nich najważniejsze były dwa. Pierwszy służył do kopiowania i szyfrowania dokumentów, robienia zrzutów ekranów oraz rejestrowania znaków wprowadzonych na klawiaturze. Drugi miał na celu jak najdłużej utrzymać złośliwe oprogramowania na komputerze ofiary. W tym celu zagrożenie aktywowało się co 30 minut, by na nowo pobrać pozostałe swoje komponenty.

W ocenie Kamila Sadkowskiego, starszego analityka zagrożeń w ESET, nowe odkrycia związane z „Machete” czynią z tego zagrożenia jedną z najniebezpieczniejszych aktywnych kampanii wymierzonych w konkretny cel i działających przez długi okres (czyli tzw. ataków APT).

- Na przestrzeni ostatnich lat hakerom udało się wejść w posiadanie terabajtów dokumentów. Skuteczność przestępców stojących za kampanią „Machete” w infiltrowaniu organizacji wojskowych i wykradaniu poufnych danych powinna stanowić ostrzeżenie dla tego rodzaju instytucji na całym świecie. Tego typu incydenty pokazują, jak istotne są kwestie związane z cyberbezpieczeństwem we współczesnym świecie oraz z jaką skalą zagrożeń musimy się mierzyć – komentuje Kamil Sadkowski z ESET.

Więcej na temat kampanii „Machete” można przeczytać w szczegółowej analizie technicznej ekspertów z firmy ESET: https://www.welivesecurity.com/wp-content/uploads/2019/08/ESET_Machete.pdf