Cílený útok pomocí zero day zranitelnosti má na svědomí skupina Buhtrap působící v Rusku, zjistil ESET

Praha 15. července 2019 (PROTEXT)

Za sofistikovanou kampaní stojí s největší pravděpodobností skupina, která se v minulosti zaměřovala na útoky na ruské banky a firmy. Nyní usilovali o hesla uživatelů z řad vládních institucí.

V závěru minulého týdne vydali bezpečnostní analytici ESET zprávu o tzv. zero day exploitu, který umožnil útočníkům provádět vysoce cílené útoky ve východní Evropě. Hackerská skupina zneužívala zranitelnosti pro přidělování lokálních práv v Microsoft Windows. Tým společnosti ESET nyní dokázal určit identitu útočníků. Jedná se o skupinu Buhtrap APT, která se zaměřuje na špionáž ve východní Evropě a střední Asii.

Skupina Buhtrap dlouhodobě cílí na finanční instituce a firmy v Rusku. Nicméně od konce roku 2015 jsme svědky toho, že skupina změnila profil svých cílů. Tato kriminální organizace páchající kybernetický zločin pro finanční zisk tak postupně rozšířila své portfolio malware i o nástroje určené k provádění špionáže.

„V situaci, kdy jsou zdrojové kódy nástrojů použitých během této kampaně volně dostupné na webu, je těžké ji přisoudit někomu konkrétnímu. Nicméně v tomto případě jsme na základě našich poznatků usoudili, že za útoky na vládní instituce stojí s největší pravděpodobností stejní lidé, kteří stáli i za prvními útoky skupiny Buhtap na firmy a banky,“ říká Jean-Ian Boutin, vedoucí výzkumného týmu společnosti ESET. „Zatím není zřejmé, zda se své zaměření rozhodl změnit jeden či vícero členů skupiny, stejně jako není znám důvod této změny. Jde ale o věc, kterou se budeme nadále zabývat,“ dodává Boutin.

Jak ukazují závěry analytiků z ESET, útočníci přidali do svého arzenálu nové nástroje a aktualizovali ty staré. Taktika, technika a procesy, které byly použity v jiných kampaních skupiny Buhtrap, se v průběhu posledních let výrazně nezměnily. Dokumenty používané k šíření jejich malware bývají maskovány neškodným textovým obsahem, tak aby nevyvolaly při svém otevření žádné podezření. Analýza těchto dokumentů poskytuje analytikům vodítka k tomu, na koho mohou být cíleny.

Útočníci usilovali o hesla obětí

V této specifické kampani obsahoval distribuovaný malware mimo jiné i nástroj ke sběru hesel, který se pokoušel získat hesla z e-mailových klientů, webových prohlížečů a podobně. Získané údaje poté zasílal na řídící server útočníků. Ti měli rovněž úplný přístup do kompromitovaného systému.

„Podstatou tohoto incidentu je skutečnost, že spuštěním běžné aplikace na starším systému Windows bez patřičné záplaty win32k.sys je útočník schopen získat nejvyšší systémová oprávnění a ovládnout tak kompletně napadené zařízení,“ vysvětluje Miroslav Dvořák, technický ředitel české pobočky společnosti ESET.

Společnost ESET ohlásila exploit společnosti Microsoft, která zranitelnost opravila a vydala příslušnou aktualizaci.

Důležité milníky útoků skupiny Buhtrap na časové ose:

● Duben 2014: První zachycený backdoor skupiny Buhtrap, který cílil na ruské firmy.

● Podzim 2015: Skupina Buhtrap se začíná zaměřovat přímo na finanční instituce.

● Prosinec 2015: Backdoor skupiny Buhtrap detekován na zařízeních státních institucí.

● Únor 2016: Škodlivý kód skupiny Buhtrap uniká na web.

● Červen 2019: Použití tzv. zero day útoku na státní instituce.

Více informací naleznete v anglickém jazyce v článku na webu WeLiveSecurity.com.

KONTAKT:

ESET software spol. s r. o.

Classic 7 Business Park

Jankovcova 1037/49

170 00 Praha 7

Česká republika

www.eset.cz

Keywords ČR-elektronika-počítače-ESET

Region
Prague, Central Bohemia region and Czech Republic

Category
IT, telecommunications

RECEIVING PRESS RELEASES
Subscribe for free

Important notice:
Subscribers please note that material bearing the label "PROTEXT" is not part of CTK's news service and is not to be published under the "CTK" label. Protext is a commercial service providing distribution of press releases from clients, who are identified in the text of Protext reports and who bear full responsibility for their contents.