Vírusový radar / Útoky na vlády v Európe aj zneužívanie obľúbených rezervačných platforiem
Mesiac sa s mesiacom stretol a podľa očakávaní svet sa nezlepšil a aj výzvy s ním spojené sú obvykle náročnejšie. A keď máme v živote nejakú ďalšiu istotu okrem daní a zdražovania, tak je to aj fakt, že boj s kybernetickými kriminálnikmi sa neskončí. Ani to, že mocní majú záujem o najrôznejšie dáta v rámci kybernetickej špionáže. A aj vďaka tomu sa môže každý jeden mesiac písať tento stĺpček.
Nedávno naši výskumníci odhalili sériu útokov, ktoré sa odohrali v Európe od mája 2022 do marca 2024, pričom útočníci použili súpravu nástrojov schopnú zacieliť na systémy izolované od internetu vo vládnej organizácii krajiny Európskej únie. Túto kampaň pripisujeme APT skupine GoldenJackal, ktorá sa zameriava na vládne a diplomatické subjekty. Analýzou súboru nástrojov nasadených touto skupinou ESET identifikoval aj útok, ktorý GoldenJackal uskutočnil už skôr, v roku 2019, na veľvyslanectvo juhoázijskej krajiny v Bielorusku a ktorý bol cielený na izolované systémy veľvyslanectva pomocou vlastných nástrojov. Konečným cieľom GoldenJackal je s veľkou pravdepodobnosťou krádež dôverných a vysoko citlivých informácií, najmä z kritických zariadení, ktoré nemusia byť pripojené na internet.
Aby sa minimalizovalo riziko kompromitácie, veľmi citlivé siete sa často izolujú od tých ostatných. Organizácie zvyčajne oddeľujú svoje najcennejšie systémy, ako sú napríklad hlasovacie systémy a priemyselné riadiace systémy, ktoré prevádzkujú energetické siete. Práve tieto siete sú často predmetom záujmu útočníkov. Kompromitácia izolovanej (air-gapped) siete je oveľa náročnejšia na zdroje ako narušenie systému pripojeného na internet, čo znamená, že spôsoby určené na útoky na izolované siete doteraz vyvíjali výlučne APT skupiny (Advanced Persistent Threat – pokročilá pretrvávajúca hrozba). Cieľom takýchto útokov je vždy špionáž.
GoldenJackal sa zameriava na vládne subjekty v Európe, na Blízkom východe a v južnej Ázii. ESET zachytil nástroje GoldenJackal na ambasáde juhoázijskej krajiny v Bielorusku v auguste a septembri 2019 a opäť v júli 2021. Nedávno bola podľa telemetrie spoločnosti ESET opakovane od mája 2022 do marca 2024 napadnutá ďalšia vládna organizácia v Európe.
A vzhľadom na požadovanú úroveň sofistikovanosti je pomerne nezvyčajné, že sa skupine GoldenJackal podarilo za päť rokov nasadiť nie jednu, ale dve samostatné súpravy nástrojov určené na kompromitáciu izolovaných systémov. To svedčí o vynaliezavosti tejto skupiny. Pri útokoch na veľvyslanectvo juhoázijskej krajiny v Bielorusku boli použité vlastné nástroje, ktoré sme doteraz videli len v tomto konkrétnom prípade. Kampaň využívala tri hlavné komponenty: GoldenDealer na doručovanie spustiteľných súborov do izolovaného systému prostredníctvom monitorovania USB, GoldenHowl, modulárny backdoor s rôznymi funkciami, a GoldenRobo, zberač súborov a exfiltrátor.
Keď obeť vloží kompromitovaný USB disk do izolovaného systému a klikne na zložku, ktorá má ikonu priečinka, ale v skutočnosti je to škodlivý spustiteľný súbor, nainštaluje a spustí sa GoldenDealer, ktorý začne zhromažďovať informácie o izolovanom systéme a ukladá ich na USB disk. Keď sa disk opäť vloží do počítača pripojeného k internetu, GoldenDealer zoberie informácie o počítači pripojenom k internetu z disku USB a odošle ich na riadiaci C&C server. Server odpovie jedným alebo viacerými spustiteľnými súbormi, ktoré sa majú spustiť na PC pripojenom k sieti. Nakoniec, keď sa disk opäť vloží do izolovaného PC, GoldenDealer zoberie spustiteľné súbory z disku a spustí ich. Nie je potrebná žiadna interakcia používateľa, pretože GoldenDealer je už spustený. V poslednej sérii útokov na vládnu organizáciu v Európskej únii GoldenJackal prešiel od pôvodnej súpravy nástrojov k novej, vysoko modulárnej. Tento modulárny prístup sa vzťahoval nielen na škodlivé nástroje, ale aj na úlohy napadnutých komponentov v rámci systému: okrem iného sa používali na zhromažďovanie a spracovanie zaujímavých, pravdepodobne dôverných informácií, na distribúciu súborov, konfigurácií a príkazov do iných systémov a na exfiltráciu súborov.
V inom prípade naši výskumníci zistili, že organizovaná podvodnícka sieť Telekopye rozšírila svoju činnosť a zameriava sa na používateľov populárnych platforiem na rezerváciu ubytovania, ako sú Booking.com a Airbnb. Zvýšili aj sofistikovanosť výberu obetí a cielenia na tieto dve rezervačné stránky. Phishingové stránky vydávajúce sa za spomínané služby sú ešte vierohodnejšie ako bežné stránky online trhovísk, na ktoré sa útočníci pôvodne zameriavali. Telekopye je súbor nástrojov, ktorý funguje ako bot v rámci platformy Telegram, kde aj amatérskym útočníkom poskytuje nástroje na automatizované vykonávanie online podvodov. Používajú ho desiatky podvodných skupín s až tisíckami členov, ktoré od svojich obetí odcudzujú milióny eur.
V sieti Telekopye podvodníci označujú cieľových kupujúcich a predávajúcich čiže svoje obete ako mamuty. Výskumníci spoločnosti ESET preto podľa tejto logiky označujú útočníkov za neandertálcov. Podvodníci nepotrebujú takmer žiadne technické znalosti – Telekopye sa o všetko postará v priebehu niekoľkých sekúnd.
V novom podvodnom scenári útočníci pošlú e-mail cielenému používateľovi služby Booking alebo Airbnb a tvrdia, že majú problém s platbou za rezerváciu. E-mail obsahuje odkaz na kvalitne vytvorenú, legitímne vyzerajúcu webovú stránku napodobňujúcu zneužitú platformu. Stránka obsahuje vopred vyplnené informácie o rezervácii, ako sú dátumy nástupu a odchodu, cena a lokalita. Informácie uvedené na podvodných stránkach sa pritom zhodujú so skutočnými rezerváciami uskutočnenými používateľom.
Aj preto sa pred vyplnením akýchkoľvek formulárov súvisiacich s rezerváciou vždy uistite, že ste neopustili oficiálnu webovú stránku alebo aplikáciu danej platformy. Presmerovanie na externú URL adresu, aby ste mohli pokračovať v rezervácii a platbe, je silný indikátor podvodu.
Nemusíte byť teda ani diplomatom či disidentom, aby ste sa stali obeťami kybernetického zločinu. A hoci je pred nami veľa výziev, vždy nám ich dokážu prekonať aj okamihy radosti. A aj tie dokáže kybernetický priestor prinášať. A bezpečne. Preto aj tento mesiac vám želám radostné, ale predovšetkým bezpečné surfovanie internetom.