Rusko sa stalo cieľom neznámej hackerskej skupiny, ktorá vo veľkom útočí na dôležité ciele. Nikto nevie, kto sú títo hackeri
Bezpečnostní experti si všimli činnosť novej hackerskej skupiny CloudSorcerer. Tá používa sofistikovaný malvér a útočí na Rusko.
Bezpečnostní experti zo Securelist objavili ešte v máji tohto roku novú hackerskú skupinu, ktorá útočí na dôležité ruské vládne ciele.
Analytici túto skupinu nazvali CloudSorcerer. Ako vo svojej správe vysvetľujú, hackeri z CloudSorcerer majú v rukách mocný kyberšpionážny nástroj. Cez tento nástroj môžu nenápadne monitorovať a kradnúť dáta zo služieb Microsoft Graph, Yandex Cloud a Dropbox.
Tento malvér využíva cloudové zdroje ako svoj command and control server. Ku zdrojom sa dostáva cez API pomocou atentifikačných tokenov. Ako C2 server využíva hackerská skupina aj GitHub. Bezpečnostní experti postrehli, že modus operandi tejto skupiny sa podobá na hackerov z CloudWizard, ktorí boli aktívni v roku 2023. Zároveň ale podotýkajú, že kód malvéru sa diametrálne líši. Z toho hľadiska nepredpokladajú, že by išlo o rovnakú skupinu. Veria, že CloudSorcerer sú “novými hráčmi”, ktorí si len osvojili podobnú techniku interakcie s verejnými cloudovými službami.
Priebeh infekcie
Malvér sa musí spustiť manuálne útočníkom na už vopred infikovanom zariadení. Pôvodne ide o jedinú prenosnú spustiteľnú knižnicu napísanú v programovacom jazyku C. Funkcionalita tejto knižnice sa líši vzhľadom na to, ako ju hackeri spustia. Po spustení malvér skontroluje meno procesu, v ktorom je spustený.
Bezpečnostní analytici vysvetľujú, že malvér porovnáva názvy procesov s napevno zakódovanými string elementami browser, mspaint.exe a msiexec.exe. Ak je názov procesu mspaint.exe, malvér slúži ako zadné dvierka a vykonáva zber dát a spúšťanie ďalších kódov.
Neprehliadni
Ak sa proces nazýva msiexec.exe, potom malvér zaháji C2 komunikačný modul. V poslednom rade, ak sa proces zhoduje so stringom browser, alebo sa nezhoduje s ničím, potom sa malvér pokúsi vložiť kód do jedného z vyššie popísaných procesov alebo do procesu explorer.exe. Následne pôvodný proces ukončuje.
Zadné dvierka malvéru zbierajú rôzne systémové informácie, napríklad názov počítača, užívateľské meno, informácie o subverzii Windowsu a iné. Všetky ukradnuté dáta sa ukladajú do špecifickej štruktúry.
Po nainštalovaní malvéru dokážu hackeri vykonať rôzne funkcie. Malvér vie zbierať informácie o pevných diskoch, napríklad ich názov, kapacitu a voľné miesto. Potom vie zbierať informácie o súboroch a priečinkoch. Hackeri zároveň dokážu kopírovať, presúvať, premenovávať alebo mazať súbory.
Následne hackeri dokážu prečítať akýkoľvek súbor alebo v infikovanom zariadení vytvoriť nejaký súbor a malvér má aj niekoľko ďalších pokročilých funkcionalít.
Hackeri cielia na vládne štruktúry Ruskej federácie
Ako sme už spomenuli na začiatku, hackeri z CloudSorcerer útočia na dôležité ruské vládne ciele. Bezpečnostní analytici poznamenávajú, že hackeri majú dobre vymyslenú infraštruktúru. To naznačuje, že kyberšpionážne operácie musia mať dobre premyslené. Samotný špehovací malvér dokáže dynamicky zmeniť svoje správanie na základe toho, v akom procese prebieha. Zároveň vykazuje sofistikovanú komunikáciu medzi jednotlivými procesmi. Aj to zdôrazňuje, že sú hackeri mimoriadne sofistikovaní.
Hackerské útoky prebiehajú od počiatku vojny na Ukrajine v oveľa väčšej miere. Prorusky orientované hackerské skupiny momentálne vyčíňajú po celej Európe a výnimkou nie je ani susedné Česko alebo naše Slovensko. Terčom pre ruských hackerov sú všetky krajiny, ktoré sympatizujú s Ukrajinou.
Hnev ruských hackerov sme v minulosti pocítili aj my a to hneď niekoľkokrát. Podarilo sa im napríklad po obmedzený čas znefunkčniť viacero významných webov. Od médií, cez banky, až po stránky vládnych inštitúcií. Najnovšie sa dostalo do hľadáčiku hackerov Česko, kde viacero online služieb v posledných dňoch a hodinách kľaklo.
Na Česko útočila proruská hackerská skupina NoName057(16) 2. júla. Podarilo sa im zasiahnuť stránky Ministerstva financií, Daňového úradu, Komory daňových poradcov, Agentúry pre rozvoj podnikania a investícií a ďalšie.
Hackeri si našich susedov vybrali kvôli vyjadreniam českého premiéra Petra Fialu. Ten povedal, že sa chce porozprávať s ukrajinským prezidentom Zelenským a uzatvoriť rozhovory o bezpečnostnej dohode pred samitom NATO.
Komentáre