Ukrán védelmi létesítményeket támadnak a hackerek

Egy hackercsoport folyamatosan, célzott adathalász levelekkel próbál beférkőzni ukrán védelmi létesítmények informatikai rendszereibe.
 

A FireEye biztonsági csapata figyelt fel arra, hogy egy hackercsoport hónapok óta - egyre trükkösebb módszerekkel - támad egyes ukrán védelmi intézményeket. Az elkövetők az akcióik során megtévesztő e-mailekkel próbálják rávenni a felhasználókat, hogy nyissák meg a leveleikben lévő csatolmányokat. A megtévesztés során egyebek mellett egy brit biztonsági cég nevével is visszaélnek, és azt próbálják elhitetni az ukrán felhasználókkal, hogy ezek az e-mailek nagyon is biztonságosak, egyben fontos tartalommal bírnak.
 
Mint kiderült, a támadások már 2018 óta rendszeresen próbára teszik a védelmi létesítmények biztonsági mechanizmusait, így kijelenthető, hogy egy elhúzódó akcióról van szó. Tavaly azonban még egyszerűbb módszerekkel próbálkoztak a csalók, és EXE vagy RAR fájlokat helyeztek el a levelek mellékletében. A mostani támadásaik során azonban már összetettebb módon próbálják megkerülni a védelmi vonalakat. Az e-mailjeik csatolmánya egy PDF-kiterjesztésű állományt tartalmaz, és Microsoft Word ikonnal jelenik meg. Ez a valóságban azonban se nem PDF, se nem Word dokumentum, hanem egy LNK-állomány, amelynek célja egy PowerShell script futtatása. Ha ez lefut, akkor a számítógépre egy RATVERMIN nevű trójai kerül fel.
 
A RATVERMIN rövid időn belül egy hátsó kaput épít ki az áldozatául eső rendszeren, majd elkezdi monitorozni a billentyűleütéseket, illetve rendszeresen lementi a vágólap tartalmát. Esetenként képernyőképeket is készít, valamint csatlakoztatott mikrofon esetén hallgatózik. Az összegyűjtött adatokat, fájlokat pedig titkosított módon tölti fel a vezérlőszerverére.
 
A FireEye szerint a hackercsoport egyelőre ukrajnai célpontokkal van elfoglalva, ennek ellenére nem lehet kizárni, hogy a jövőben nemzetközi vizekre evez majd.