ESET, líder v proaktívnej ochrane pred internetovými hrozbami, analyzoval útok, ktorého cieľom sú vojenské a diplomatické kruhy viacerých bývalých sovietskych republík. Systém ESET LiveGrid naznačuje, že tento útok trvá minimálne od júna 2014 a je stále aktívny. Cieľom sú obyvatelia Afganistanu, Tadžikistanu, Ruska, Kirgizska a Kazachstanu.
“Na základe názvov súborov zasielaných obetiam a z profilu týchto obetí máme pocit, že útočníci sa zamerali na zber informácií súvisiacich s afganskými, tadžickými a ruskými vojenskými a diplomatickými entitami,”
vysvetľuje Róbert Lipovský, výskumník škodlivého kódu zo spoločnosti ESET.
Útok je vykonávaný pomocou trójskeho koňa s funkciou vzdialeného prístupu.“Korplug, označovaný aj menom PlugX, je známym nástrojom, ktorý je spájaný s čínskymi skupinami uskutočňujúcimi pokročilé útoky. Od roku 2012 bol použitý pri veľkom množstve cielených útokov,” dopĺňa Lipovský.
ESETu sa však v posledných týždňoch podarilo nájsť vo viacerých infekciách schému, ktorá odhalila útok uskutočňovaný pomocou phishingových e-mailov, ktorých súčasťou sú škodlivé dokumenty. Tieto dokumenty zneužívajú dve programátorské chyby v programe Microsoft Word. Jednu zneužívajú úspešne, druhú neúspešne.
Obetiam sú teda odoslané dokumenty so zaujímavým a relevantným názvom, ktorý ich má nalákať na otvorenie dokumentov. Po ich otvorení sa obeti v niektorých prípadoch zobrazí nepodstatný text a zároveň sa v pamäti počítača rozbalí tento trójsky kôň.
Dokumenty obsahujú anglické alebo ruské názvy v nasledujúcom znení:
- Situačný report o Afganistane.doc
- DOHODA MEDZI NATO A AFGANISTANOM O STATUSE VOJENSKÝCH ZLOŽIEK NATO V AFGANISTANE.doc
- novinky.doc
- Plán aktivít pre vojenské zložky v regióne Volgy na júl 2014.scr
- Telefónny zoznam Ministerstva zahraničných vecí Kirgizskej republiky.scr
- O centre sociálnej adaptácie príslušníkov armády.scr
- Zápis zo stretnutia členov PRC.scr
- Opravený vzor akčného plánu.scr
- Situačný report o Afganistane.scr
- Vojenská a politická situácia v Islamskej republike v Afganistane.scr
- Afganské vzdušné sily.scr
- Akčný plán.scr
Väčšina obetí bola okrem Korplugu infikovaná aj ďalšími trójskymi koňmi. “Použitie ďalších trojanov s funkciou vzdialeného prístupu, ktorých vlastnosti sa z časti prelínali s vlastnosťami Korplugu, nám naskytlo otázku, či útočníci len experimentovali z rozličnými trojanmi alebo nimi suplovali funkcionalitu, ktorú nedokázali Korplugom zabezpečiť,” dodáva Lipovský.
Ochranou firiem a organizácií pred dôsledkami vývojárskych chýb známych programov sa bude venovať konferencia ESET Security Days, ktorá sa uskutoční 19. novembra v priestoroch bratislavského hotela Austria Trend. Zabezpečiť vstup na túto konferenciu si môžete vyplnením registrácie na webe www.esetsecuritydays.sk.