Výskumníci spoločnosti ESET analyzovali od polovice minulého roka viaceré kybernetické operácie, za ktorými, ako sa ukázalo neskôr, stála kybernetická špionážna skupina Gelsemium.
Najstaršiu verziu jej hlavného malvéru Gelsevirine vystopovali až do roku 2014. Počas skúmania objavili výskumníci novú verziu tohto škodlivého kódu. Ide o backdoor, ktorý je komplexný a zároveň modulárny. Obete útokov sa nachádzajú vo východnej Ázii a na Blízkom východe a patria medzi ne vládne inštitúcie, náboženské organizácie, výrobcovia elektroniky a univerzity. APT skupine sa darilo konať vo väčšine prípadov nepozorovane. Výsledky výskumu spoločnosti ESET boli exkluzívne predstavené na konferencii ESET World.
Podľa telemetrie spoločnosti ESET skupina Gelsemium cieli svoje útoky veľmi presne a na malý počet obetí. Vzhľadom na schopnosti tejto skupiny to nasvedčuje tomu, že Gelsemium je zapojená do kybernetickej špionáže. Ako vysvetľuje Thomas Dupuy, výskumník spoločnosti ESET a spoluautor analýzy zameranej na Gelsemium, APT skupina má obrovské množstvo adaptabilných komponentov. „Celý Gelsemium reťazec môže na prvý pohľad vyzerať jednoducho, no nespočetné množstvo konfigurácií, ktoré sú nasadené v každom štádiu, môžu za pochodu zmeniť parametre malvéru, čím sa stáva ťažším na pochopenie.“
Ciele skupiny Gelsemium zobrazené na mape
Gelsemium využíva plugin systém a tri komponenty – dropper Gelsemine, loader Gelsenicine a hlavný plugin Gelsevirine. Táto schéma dáva útočníkom širokú škálu možností pri zbere informácií. Výskumníci spoločnosti ESET sa nazdávajú, že skupina Gelsemium je aj za operáciou NightScout, útokom na dodávateľský reťazec pre hráčov v Ázii, ktorý vo februári spoločnosť odhalila. Kybernetickí zločinci v tomto prípade zacielili útok na aktualizácie herného emulátora NoxPlayer, ktorý umožňuje spustiť mobilnú hru na počítači.
Túto obľúbenú aplikáciu vývojárskej firmy BigNox používa viac ako 150 miliónov ľudí po celom svete. Výskum spoločnosti ESET našiel spojitosť medzi útokom na dodávateľský reťazec a skupinou Gelsemium. Obete, ktoré boli pôvodne zasiahnuté útokom na dodávateľský reťazec sa neskôr stali aj terčom skupiny Gelsemine. Spomedzi rôznych skúmaných variantov škodlivých kódov, ktorým sa ESET venoval v tomto článku, vykazuje podobné znaky s malvérom z dielne Gelsemium „variant 2“. Viac technických informácií o APT skupine Gelsemium si môžete prečítať v blogu alebo štúdii spoločnosti ESET.