Operacja Groundbait i jedno z bardziej zaawansowanych malware ostatnich miesięcy

20 maja, 2016

Eksperci z firmy ESET odkryli atak skierowany głównie przeciwko separatystom działającym w samozwańczych republikach na wschodzie Ukrainy – w Donieckiej Republice Ludowej oraz Ługańskiej Republice Ludowej. Celem zagrożenia Prikormka, wykorzystywanego podczas operacji Groundbait, jest szpiegowanie m.in. ukraińskich separatystów i kradzież ich danych. Informacje zebrane przez analityków zagrożeń z firmy ESET wskazują, że atak został prawdopodobnie przeprowadzony z terytorium Ukrainy. 

Oprócz konfliktu zbrojnego we wschodniej części Ukrainy, kraj ten boryka się ze zwiększoną liczbą ataków targetowanych, lub tak zwanych advanced persistent threats (APT). Po ataku z wykorzystaniem zagrożenia BlackEnergy, który pozbawił prądu setek tysięcy obywateli Ukrainy i operacji Potao Express, podczas której hakerzy wykradli wrażliwe dane chronione przez program szyfrujący TrueCrypt, eksperci z firmy ESET odkryli kolejny atak na Ukrainie – operację Groundbait. 

Zagrożenie, które ESET wykrywa jako Win32/Prikormka, rozprzestrzenia się jako załącznik w wiadomościach mailowych (tzw. spear-phishing), co jest typową formą infekowania komputerów podczas ataków targetowanych, czyli skierowanych przeciwko konkretnej grupie osób lub instytucji. Maile te zostały starannie przygotowane – były zaadresowane nazwiskiem konkretnej ofiary, a załączone w nich dokumenty zazwyczaj dotyczyły obecnej sytuacji politycznej na Ukrainie i wojny w Donbasie. Po zainstalowaniu na komputerze ofiary, zagrożenie kradnie wrażliwe informacje i przesyła je na serwery znajdujące się w Kijowie i Mariupolu. 

Kto stoi za atakiem?

Oprócz separatystów zamieszkujących wschodnią i południową Ukrainę, na swój cel atakujący wybrali również ukraińskich urzędników rządowych, ukraińskich polityków i dziennikarzy. 

Wskazanie źródła ataku jest bardzo trudne z uwagi na brak jednoznacznych i niepodważalnych dowodów. Analiza wykazała, że atakujący prawdopodobnie działają wewnątrz Ukrainy. Kimkolwiek są, ich działania motywowane są politycznie. Świadczą o tym cele ataków – czyli głównie separatyści z Donieckiej i Ługańskiej Republiki Ludowej. Poza tymi danymi, wszelkie dalsze próby przypisania autorstwa ataku byłyby w tym momencie spekulacjami. Ważne, aby pamiętać, że celem ataków byli nie tylko separatyści. Dlatego nie można wykluczyć, że całą operację powinno się uznać za „false flag”, czyli tajną operację przeprowadzoną przez rząd lub organizację w taki sposób, aby obarczyć za nią inny kraj lub inny podmiot.  

Więcej informacji technicznych znajduje się w white paper (w języku angielskim).

źródło: ESET

Czy ten artykuł był pomocny?

Oceniono: 0 razy

PODZIEL SIĘ:

guest
0 komentarzy
najstarszy
najnowszy oceniany
Inline Feedbacks
View all comments

Zapisz się na newsletter

Informacje o cyberbezpieczeństwie prosto na skrzynkę pocztową!

Dodatkowo otrzymasz poradnik „Jak bezpiecznie funkcjonować w cyfrowym świecie”

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]