Myslíte si, že ak máte kvalitný antivírus, nemôže vás nikto sledovať? Chyba

Ani kvalitný antivírus nemusí byť vždy na 100 % účinný. Zločinci totiž môžu využívať aj tzv. zadné vrátka – backdoor, ktoré pustia do vášho zariadenia kohokoľvek. Potom vás dokážu sledovať prakticky nonstop – či už zaznamenávať zvuk vášho okolia, snímať fotografie, alebo dokonca natáčať video. Nočná mora známa zo sci-fi sa stáva smutnou realitou.

Najnovšie to dokázali výskumníci zo spoločnosti ESET, keď podrobne zmapovali praktiky špionážnej skupiny TA410. Tá zrejme pozostáva z troch rôznych tímov – FlowingFrog, LookingFrog a JollyFrog. Nasadzujú podobné taktiky, ale odlišujú sa použitými nástrojmi a cieľmi.

Predpokladá sa, že tieto podskupiny konajú do určitej miery nezávislo, ale pravdepodobne zdieľajú informácie, využívajú ten istý tím na šírenie spearphishingových kampaní. Väčšinu z cieľov skupiny TA410 tvoria významné organizácie zo sektorov diplomacie a vzdelávania, boli však identifikované obete aj z vojenskej oblasti. Medzi zasiahnutými je aj výrobňa v Japonsku, banícka firma v Indii či charitatívna organizácia v Izraeli. Za zmienku stojí aj zistenie, že skupina minimálne dvakrát útočila aj na cudzincov v Číne. Podľa telemetrie ESET-u bol obeťou francúzsky akademik a člen diplomatickej misie juhoázijskej krajiny v Číne.

Gangstri z TA410 mali prístup k najnovším zraniteľnostiam v internetových aplikáciách, ako napríklad Microsoft Exchange, alebo prostredníctvom škodlivých dokumentov v spearphishingových e-mailoch. Skupina TA410 často využívala vzdialené spustenie kódu (zraniteľnosť Proxylogon z marca 2021 a zraniteľnosť ProxyShell z augusta 2021).

„Nasvedčuje to tomu, že útočníci cielia na špecifické obete a vyberajú si pritom, ktorá metóda má najväčšiu šancu na úspech,“ hovorí Alexandre Côté Cyr, výskumník v ESET-e.

Využívaná verzia backdooru FlowCloud sa zrejme ešte stále vyvíja a je predmetom testovania. Výskumníci si všimli jej špionážne schopnosti, medzi ktoré patrí zaznamenávanie pohybov myšky a klávesnice, či sledovanie obsahu v clipboarde spolu s informáciami na aktuálne otvorenom okne. Tieto údaje môžu útočníkom dodať kontext a pomôcť s pochopením ukradnutých dát.

Backdoor FlowCloud dokáže zbierať informácie v okolí skompromitovaného počítača prostredníctvom vyhotovovania fotografií cez pripojené zariadenia a nahrávaním zvuku mikrofónom v počítači. „Táto funkcia sa spustí automaticky po zachytení hocijakého zvuku nad úrovňou 65 decibelov, čo je horná hranica hlasitosti obyčajnej konverzácie. Štandardne sa prostredníctvom špionážnych malvérov spúšťa nahrávanie, keď sa na skompromitovanom zariadení spustí nejaká akcia, napríklad keď sa zapne program na videohovor, alebo po odoslaní špecifického príkazu od útočníkov,“ dodáva Côté Cyr.

Problémom backdoorov, čiže akýchsi tajných vchodov je, že sa používatelia voči nim nedokážu účinne brániť. Zločincom umožňujú obísť bežnú autentifikáciu, ktorá za normálnych okolností zabráni vniknutiu do systému a jeho používaniu.