Výskumníci bezpečnostnej spoločnosti ESET odhalili práve prebiehajúcu kybernetickú špionáž zameranú na významné ciele v Latinskej Amerike.
Viac než polovica z desiatok infikovaných počítačov medzi ciele narábajúce s extrémne citlivými dátami – venezuelským vojenským silám. Medzi ciele však patria aj iné inštitúcie ako polícia, sektor vzdelávania a aj zahraničných vecí.
Väčšina útokov (75 percent) sa odohráva vo Venezuele, ďalších 16 percent v Ekvádore, kde je cieľom armáda.
Útočiaca skupina každý týždeň kradne gigabajty tajných dokumentov. Tento útok je stále aktívny a odohráva sa v čase zvýšeného regionálneho ale aj medzinárodného napätia medzi Spojenými štátmi americkými a Venezuelou.
Od opozičného povstania proti prezidentovi Nicolásovi Madurovi po sprisahania v armádnych zložkách, v prvej polovici roka 2019 sa stalo viacero udalostí, ktoré na Venezuelu zamerali medzinárodnú pozornosť, upozorňuje ESET.
Svoje obete dobre pozná
Skupina za spomenutým útokom používa sadu nástrojov s názvom Machete (mačeta).
„Operátori Machete používajú veľmi efektívne techniky spear phishingu, čiže cieleného phishingu. Ich niekoľkonásobné útoky zamerané na krajiny v Latinskej Amerike im v priebehu niekoľkých rokov umožnili zozbierať spravodajské informácie a zdokonaliť taktiku. Poznajú svoje ciele, ako sa dostať do ich bežnej komunikácie a ktoré dokumenty majú najvyššiu hodnotu,“ vysvetľuje výskumník spoločnosti ESET Matias Porolli.
„Útočníci exfiltrujú rôzne typy súborov vrátane špeciálnych druhov, ktoré používa softvér geografických informačných systémov (GIS). Skupina sa osobitne zaujíma o súbory, ktoré opisujú navigačné trasy a určovanie polohy prostredníctvom vojenských geografických súradníc,“ dodáva Porolli.
Ako útok prebieha
Skupina zasiela svojim obetiam veľmi konkrétne e-maily, ktoré sa menia v závislosti od toho, kto je obeťou. Na podvedenie nič netušiacich obetí používajú operátori Machete skutočné súbory, ktoré predtým ukradli.
Napríklad utajené armádne dokumenty. Sú medzi nimi „radiogramas“ (rádiogramy), tie sa používajú na komunikáciu v rámci venezuelskej armády. Útočníci tieto kradnuté dokumenty využívajú spolu so svojou znalosťou vojenského žargónu a etikety.
Vďaka tejto kombinácii sa im darí vytvárať veľmi presvedčivé phishingové e-maily. Zasielajú ich malému počtu obetí, ktoré sa nemusia nikdy dozvedieť o tom, že na nich skupina zaútočila.
Po otvorení dokumentu priloženého k e-mailu sa do počítača stiahnu ďalšie škodlivé súbory. Všetky ESETom identifikované adresy, z ktorých sa sťahovali škodlivé kódy, boli buď na úložisku Dropbox alebo Google Docs. Škodlivé komponenty na infikovanom zariadení dokážu sledovať aktivity používateľa, zaznamenávať stlačené klávesy, robiť screenshoty obrazovky, detegovať novo pripojené disky a kopírovať z nich súbory.
Útočníkov okrem Microsoft Office dokumentov zaujímajú aj zazálohované súbory na počítačoch obetí, kryptografické kľúče, vektorové obrázky a súbory geografických informačných systémov (topografické mapy, navigačné cesty a tak ďalej).
Mapa s obeťami až na úroveň budovy
Jeden z komponentov zbiera údaje o okolitých Wi-Fi sieťach a zasiela ich do Mozilla Location Service API. Táto aplikácia poskytuje geolokačné koordináty, ak má k dispozícii iné zdroje informácií – napríklad Bluetooth vysielač, BTS stanice alebo Wi-Fi.
Z týchto dát dokáže malware vygenerovať zemepisnú šírku a dĺžku a použiť ich na vytvorenie URL adresy v Google mapách. Útočníkovi tak v prípade dostatku dát dokáže veľmi presne ukázať, kde sa obeť nachádza a to až na úroveň konkrétnej budovy.
Infikované zariadenie taktiež obsahuje špeciálny kód, ktorý dovoľuje z počítača skopírovať dáta aj fyzicky. Ak má útočník fyzický prístup k infikovanému zariadeniu, môže doň vložiť vymeniteľný disk. Škodlivý kód skontroluje, či sa v koreňovom adresári takéhoto disku nachádza súbor s konkrétnym názvom. Ak áno, je do skrytého priečinku disku skopírovaný a zašifrovaný celý obsah infikovaného zariadenia. Prítomnosť tohto škodlivého kódu teda môže indikovať, že útočník môže byť fyzicky prítomný v jednej z krajín, na ktorú cieli.
Skupina za nástrojmi Machete je španielsky hovoriaca a veľmi aktívna, funguje minimálne od roku 2010. Dokáže fungovať aj napriek tomu, že už niekoľko výskumníkov vydalo technické opisy jej škodlivých kódov. Organizáciám, na ktoré cieli, sa nepodarilo aplikovať bezpečnostné politiky a zvýšiť bezpečnostné povedomie tak, aby ich zamestnanci týmto útočníkom nenaleteli.
Spoločnosť ESET sa útoku podrobne venuje v zverejnenom dokumente „Machete just got sharper“.