BRATISLAVA. Venezuelské ozbrojené sily sú terčom stále aktívnejšej kybernetickej špionáže, ktorá sa zameriava na viaceré významné ciele v Latinskej Amerike.
Upozorňujú na to výskumníci z bezpečnostnej spoločnosti Eset.
Venezuelskej armáde patrí viac ako polovica z desiatok infikovaných počítačov, medzi terče však patria aj napríklad polícia, sektor vzdelávania či zahraničných vecí.
Až 75 percent útokov sa odohráva vo Venezuele a ďalších 16 percent v Ekvádore, kde je tiež cieľom armáda. Sedem percent útokov zaznamenali v Kolumbii a ostatné dve percentá v Nikarague.
Útočiaca skupina každý týždeň kradne gigabajty tajných dokumentov. Používa pritom sadu nástrojov s názvom Machete.
„Operátori Machete používajú veľmi efektívne techniky spear phishingu, čiže cieleného phishingu. Ich niekoľkonásobné útoky zamerané na krajiny v Latinskej Amerike im v priebehu niekoľkých rokov umožnili zozbierať spravodajské informácie a zdokonaliť taktiku. Poznajú svoje ciele, ako sa dostať do ich bežnej komunikácie a ktoré dokumenty majú najvyššiu hodnotu. Útočníci exfiltrujú rôzne typy súborov vrátane špeciálnych druhov, ktoré používa softvér geografických informačných systémov (GIS). Skupina sa osobitne zaujíma o súbory, ktoré opisujú navigačné trasy a určovanie polohy prostredníctvom vojenských geografických súradníc,“ vysvetlil výskumník spoločnosti Eset Matias Porolli.
Skupina svojim obetiam posiela veľmi konkrétne e-maily, ktoré sa menia v závislosti od obete. Pri podvode používajú operátori Machete skutočné súbory, ktoré predtým ukradli, ako napríklad utajené armádne dokumenty. Útočníci s pomocou týchto dokumentov a znalosťou vojenského žargónu a etikety vytvárajú veľmi presvedčivé phishingové e-maily, ktoré zasielajú malému počtu obetí. Po otvorení dokumentu, ktorý je priložený k e-mailu, sa do počítača stiahnu ďalšie škodlivé súbory. Všetky adresy, ktoré Eset identifikoval a odkiaľ sa sťahovali škodlivé kódy, boli na úložiskách Dropbox alebo Google Docs.
Škodlivé komponenty na infikovanom zariadení podľa výskumníkov dokážu sledovať aktivity používateľa, zaznamenávať stlačené klávesy, robiť screenshoty obrazovky, zaznamenávať novopripojené disky a kopírovať z nich súbory. Útočníkov okrem Microsoft Office zaujímajú zálohované súbory, kryptografické kľúče, vektorové obrázky a súbory geografických informačných systémov, ako sú topografické mapy či navigačné cesty.
Jeden z týchto škodlivých komponentov zbiera údaje o okolitých Wi-Fi sieťach a zasiela ich do aplikácie Mozilla Location Service API, ktorá poskytuje geolokačné koordináty, ak má k dispozícii iné zdroje informácií, ako napríklad Bluetooth vysielač, BTS stanice alebo Wi-Fi. Z týchto dát dokáže malware vygenerovať súradnice a použiť ich na vytvorenie URL adresy v Google mapách. Útočník tak v prípade dostatočných dát dokáže s presnosťou zistiť, kde sa jeho obeť nachádza, dokonca až na úroveň konkrétnej budovy.
Ak má útočník fyzický prístup k infikovanému zariadeniu dokáže tiež s pomocou špeciálneho kódu, ktoré obsahuje, skopírovať dáta na vymeniteľný disk. Škodlivý kód skontroluje, či sa v koreňovom adresári takéhoto disku nachádza súbor s konkrétnym názvom. V prípade, že áno, do skrytého priečinku disku sa skopíruje a zašifruje celý obsah infikovaného zariadenia. Podľa Esetu môže prítomnosť tohto škodlivého kódu naznačovať, že útočník môže byť prítomný priamo v jednej z krajín, na ktorú sa zameriava.
Spomínaná skupina je španielsky hovoriaca a podľa výskumníkov veľmi aktívna, pričom funguje najmenej od roku 2010. Dokáže byť činná aj napriek tomu, že už niekoľko výskumníkov vydalo technické opisy jej škodlivých kódov. Organizáciám, ktoré sú jej terčmi, sa dosiaľ nepodarilo aplikovať potrebnú bezpečnostnú politiku a zvýšiť bezpečnostné povedomie tak, aby ich zamestnanci nenaleteli útočníkom.
