Známa ruská hackerská skupina APT28 (alias Fancy Bear, Sofacy či Sednit) nedávno zahájila ďalšiu zo svojich cielených kybernetických operácií. Ako návnada hackerom slúži archív, ktorý na prvý pohľad obsahuje informácie o pripravovaných cvičeniach NATO.
Ako informovali experti na kybernetickú bezpečnosť zo spoločnosti QuoIntelligence, skupina iniciovala malvérovú kampaň označovanú ako Zebrocy. Jej terčom sa stali vládne počítače členov i partnerov Severoatlantickej aliancie. Malvér Zebrocy je na prvý pohľad veľmi ťažko detekovateľný – v čase analýzy mala jeho vzorka v databáze VirusTotal skóre 3/61. Experti varujú pred škodlivým súborom označeným „Course 5 – 16 October 2020.zipx“, ktorý bol pravdepodobne distribuovaný od 5. augusta 2020. Súbor na prvý pohľad obsahuje komprimované súbory o cvičeniach NATO. „Ak je súbor premenovaný ako JPG,“ vysvetľujú experti, „operačný systém zobrazí logo Vrchného veliteľstva spojeneckých síl v Európe (SHAPE).“ Súbor sa tak javí ako veľmi dôveryhodný. Reťazenie obrázkových súborov je obľúbenou technikou útočníkov, ktorí veria, že antivírusy či iné filtračné systémy si môžu takýto súbor pomýliť s obyčajným obrázkovým súborom a tak ho preskočiť.
Po rozzipovaní súbor odhalí rovnomenný XLS a EXE súbor. Prvý z menovaných je poškodený, Microsoft Excel ho neotvorí. Obeť by tak podľa pravdepodobnej logiky útočníka mala otvoriť súbor vo formáte EXE, ktorý má ako ďalšiu návnadu ikonu PDF. Spustí však Zebrocy – tzv. first-stage malvér vo verzii Delphi. Podľa portálu Bleeping Computer ide o „pretrvávajúcu malvérovú infekciu a zadné vráta s viacerými funkciami“. Zebrocy dokáže napríklad vykonávať prieskum systému, vytvárať a meniť súbory či vytvárať plánované úlohy. Jeho C&C server bol podľa QuoIntelligence situovaný vo Francúzsku. O prezentovaných zisteniach by už v tejto súvislosti mali byť informované tak francúzske autority, ako aj NATO. Výskumníci so stredne vysokou istotou dodávajú, že „kampaň bola zameraná na špecifický vládny orgán v Azerbajdžane […]. Je [však] pravdepodobné, že útočníci cielili aj na členov NATO alebo na iné krajiny zapojené do cvičení NATO.“
S rovnakou mierou istoty bol útok pripísaný APT skupine Fancy Bear. Tá totiž vo svojich útokoch na vládne orgány krajín Európy a Strednej Ázie nepoužíva malvér Zebrocy prvýkrát. Napríklad koncom roka 2018 spoločnosť Accenture Security detailne informovala o podobnej kampani, ktorá bol taktiež pripísaná skupine APT28. Cieľom vtedajšieho útoku boli podľa SOC Prime rovnako vládne subjekty členov NATO a krajín Strednej Ázie. Škodlivý dokument vo formáte DOCX, ktorý sa týkal rokovaní ohľadom BREXITu, mal prenášať Delphi verziu malvéru Zebrocy.
Zdroj: CS
