Slovenská bezpečnostná spoločnosť ESET analyzovala túto jeseň útok, ktorého cieľom boli vojenské a diplomatické kruhy viacerých bývalých sovietskych republík. Systém ESET LiveGrid naznačuje, že tento útok trvá minimálne od júna 2014 a je stále aktívny. Cieľom sú obyvatelia Afganistanu, Tadžikistanu, Ruska, Kirgizska a Kazachstanu.
“Na základe názvov súborov zasielaných obetiam a z profilu týchto obetí máme pocit, že útočníci sa zamerali na zber informácií súvisiacich s afganskými, tadžickými a ruskými vojenskými a diplomatickými entitami,” vysvetľuje Róbert Lipovský, výskumník škodlivého kódu zo spoločnosti ESET.
Útok je vykonávaný pomocou trójskeho koňa s funkciou vzdialeného prístupu. “Korplug, označovaný aj menom PlugX, je známym nástrojom, ktorý je spájaný s čínskymi skupinami uskutočňujúcimi pokročilé útoky. Od roku 2012 bol použitý pri veľkom množstve cielených útokov,” dopĺňa Lipovský.
ESETu sa však podarilo nájsť vo viacerých infekciách schému, ktorá odhalila útok uskutočňovaný pomocou phishingových e-mailov, ktorých súčasťou sú škodlivé dokumenty.
Príklad falošného dokumentu, ktorý obeť dostane e-mailom
Obetiam sú teda odoslané dokumenty so zaujímavým a relevantným názvom, ktorý ich má nalákať na otvorenie dokumentov. Po ich otvorení sa obeti v niektorých prípadoch zobrazí nepodstatný text a zároveň sa v pamäti počítača rozbalí tento trójsky kôň.
Dokumenty obsahujú anglické alebo ruské názvy v tomto znení:
- Situačný report o Afganistane.doc
- DOHODA MEDZI NATO A AFGANISTANOM O STATUSE VOJENSKÝCH ZLOŽIEK NATO V AFGANISTANE.doc
- novinky.doc
- Plán aktivít pre vojenské zložky v regióne Volgy na júl 2014.scr
- Telefónny zoznam Ministerstva zahraničných vecí Kirgizskej republiky.scr
- centre sociálnej adaptácie príslušníkov armády.scr
- Zápis zo stretnutia členov PRC.scr
- Opravený vzor akčného plánu.scr
- Situačný report o Afganistane.scr
- Vojenská a politická situácia v Islamskej republike v Afganistane.scr
- Afganské vzdušné sily.scr
- Akčný plán.scr
Väčšina obetí bola okrem Korplugu infikovaná aj ďalšími trójskymi koňmi. “Použitie ďalších trojanov s funkciou vzdialeného prístupu, ktorých vlastnosti sa z časti prelínali s vlastnosťami Korplugu, nám naskytlo otázku, či útočníci len experimentovali z rozličnými trojanmi alebo nimi suplovali funkcionalitu, ktorú nedokázali Korplugom zabezpečiť,” dodáva Lipovský.