Martin SkýpalaPo kampani BlackEnergy, která měla za následek výpadky proudu u mnoho tisíc obyvatel Ukrajiny a operaci Potao Express, ve které šli útočníci po datech chráněných aplikací TrueCrypt, objevili výzkumníci společnosti ESET další kyber špionážní operaci nazvanou Operace Groundbait. Jméno operace je odvozeno z názvu jednoho z prvních analyzovaných malware vzorků prikormka.exe, neboli v ruštině Прикормка, což znamená návnada (anglicky potom Groundbait).
Malware, jež unikal pozornosti veřejnosti již od roku 2008, a který ESET detekuje jako Win32/Prikormka, se podle dostupných informací používá ke špionáži separatistů v samozvaných lidových republikách Doněck a Luhansk. V malém procentu případů byl však Prikormka detekován i v Rusku.
Nákaza se šířila pomocí podvodných e-malových zpráv s infikovanou přílohou. Zde měla podobu dokumentu, po jehož otevření došlo ke spuštění škodlivého kódu. Podobně jako v dalších případech podvodných e-mailových kampaní i tady název přílohy sliboval zajímavý obsah a nutil tak potenciální oběti k otevření. Většinou šlo o problematiku vztahující se ke geopolitické situaci na Ukrajině a válce v Donbassu.
Z technického pohledu je Win32/Prikormka modulární malware, který umožňuje útočníkům přidávat další škodlivé funkce. Jelikož jde o trójského koně, primárně krade citlivá data a odesílá je na servery, jež jsou pod kontrolou útočníků.
Analýza ukázala, že útočníci s velkou pravděpodobností pochází přímo z Ukrajiny. Ať už jde o kohokoli, lze předpokládat, že tato kyberšpionáž má pravděpodobně politické pozadí. Jiný závěr by byl pouze spekulací. Kromě separatistů byly terčem útoku i ukrajinští vládní úředníci, politici a novináři. Zároveň není ani vyloučeno, že může jít o operaci pod falešnou vlajkou.
Obrázky: ESET, LagartoL | pixabay.com
Lucie Mudráková
