Bezpečnostná spoločnosť ESET zaznamenala novú vlnu útokov na ukrajinských distribútorov elektrickej energie. Na rozdiel od decembrového incidentu však útočníci použili iný škodlivý kód. Prvá vlna pripravila 23. decembra 2015 o elektrinu asi pol milióna obyvateľov Ivanofrankivskej oblasti. ESET pri svojej analýze vtedy zistil, že tento prípad je prepojený s útokmi na ukrajinské médiá a s kybernetickou špionážou zameranou na ukrajinské vládne agentúry. Spoločným menovateľom bol škodlivý kód BlackEnergy, niekedy nazývaný aj Sandworm alebo Quedagh. V tomto prípade však útočníci použili open sourceový backdoor GCat. „Spôsob útoku sa oproti decembrovej vlne veľmi nezmenil. Útočníci zaslali tento utorok spearphishingové e-maily potenciálnym vytypovaným obetiam. Správa obsahovala prílohu so škodlivým XLS súborom, čiže tabuľkou,“ opisuje priebeh druhej vlny útoku Robert Lipovský, výskumník škodlivého kódu zo spoločnosti ESET. „E-mail má obsah s linkom na obrázkový súbor, ktorý je umiestnený na vzdialenom serveri. Útočníci vďaka tomu získajú notifikáciu o tom, že cieľ dostal správu a aj ju otvoril. Túto zaujímavú techniku sme v minulosti zaznamenali aj pri skupine BlackEnergy,“ dodáva Lipovský.
Po otvorení tabuľky sa obeti zobrazí správa, ktorá sa ju snaží naviesť k tomu, aby v dokumente povolila makrá. Konkrétne falošným oznamom: „Pozor! Tento dokument bol vytvorený v novšej verzii Microsoft Office. Marká sú potrebné na zobrazenie obsahu tohto dokumentu.“ Vlastnosťou makier je to, že sa dokážu pripojiť na internet. Tieto falošné správy o nutnosti povolenia makier používajú útočníci aj pri bežných pokusoch infikovať akékoľvek spoločnosti. V tomto prípade sa po povolení makier stiahne do infikovaného zariadenia trójsky kôň, ktorý sa do počítača snaží zase stiahnuť backdoor GCat. Server, z ktorého trójsky kôň sťahuje GCat však bol už odstavený. Na základe tvrdení niektorých bezpečnostných spoločností umiestnili isté médiá skutočných útočníkov do Ruska. Lipovský s tým však nesúhlasí. „Momentálne nemáme žiadne dôkazy, ktoré by naznačovali, kto je za týmito útokmi. Spraviť jednoduchú dedukciu na základe momentálnej politickej situácie nás môže priviesť k správnej odpovedi, ale aj nie. V najlepšom prípade ide o špekuláciu,“ vysvetľuje Lipovský. „Aby som to zosumarizoval, najnovšie odhalenia nás vôbec nepriblížili k odhaleniu pôvodu útokov na Ukrajine. Práve naopak, pripomínajú nám, aby sme sa neuchyľovali k urýchleným záverom,“ dodáva Lipovský. Produkty spoločnosti ESET detegujú novú vlnu útokov ako: VBA/TrojanDropper.Agent.EY Win32/TrojanDownloader.Agent.CBC Python/Agent.N
O spoločnosti ESET Spoločnosť ESET je svetovým výrobcom bezpečnostného softvéru pre firemnú klientelu a domácnosti. Je lídrom na trhu proaktívnej detekcie počítačových hrozieb. Vďaka technológii Live Grid® využíva ESET dáta od dobrovoľných používateľov z celého sveta, a tak okamžite reaguje na nové hrozby. ESET drží vďaka zisku 80. ocenenia VB100 v júli 2013 rekord v počte týchto ocenení, ktoré udeľuje britský Virus Bulletin, vysoko-rešpektovaná nezávislá testovacia organizácia. ESET sídli v Bratislave, regionálne pobočky má v Prahe, ČR; Jene, Nemecko; San Diegu, USA; Buenos Aires, Argentína; Sydney, Austrália a Singapure. Výskumné centrá ESET pre analýzu malware sú okrem Bratislavy, aj v San Diegu, v Prahe, poľskom Krakove a kanadskom Montreale. ESET má zastúpenie vo viac ako 180 krajinách sveta. Firma už jedenásť rokov za sebou patrí podľa rebríčka Deloitte Technology Fast 500 EMEA medzi najrýchlejšie rastúce technologické spoločnosti v regióne Európy, Blízkeho východu a Afriky. Týždenník Trend ocenil ESET trikrát za sebou titulom Firma roka.
