Hlavní obsah
Ilustrační foto Foto: Andrew Kelly, Reuters

Hackeři kradli vládní dokumenty nepozorovaně devět let

Dlouhých devět let se dařilo hackerům ze skupiny XDSpy krást vládní dokumenty ve východoevropských zemích. S těmito materiály dokázali kompromitovat řadu tamních vládních institucí i soukromých společností. Práci hackerů zmapovala antivirová společnost Eset.

Ilustrační foto Foto: Andrew Kelly, Reuters
Hackeři kradli vládní dokumenty nepozorovaně devět let

„Je vzácné, aby skupina kybernetických útočníků zůstala tak dlouho neodhalená. Skupině se doposud dařilo unikat pozornosti veřejnosti, až do varování od běloruského CERT týmu,“ prohlásil Miroslav Dvořák, technický ředitel české pobočky Esetu.

CERT týmy mají na starosti analyzovat kybernetické incidenty a rychle na ně reagovat. V Česku takovýto vládní CERT spadá pod Národní úřad pro kybernetickou a informační bezpečnost.

Bezpečnostní expert zdůraznil, že při analýze této hrozby pracovníci Esetu nenarazili na žádné části kódu, které by se podobaly jiným rodinám malwaru. „Ani jsme nezaznamenali žádné prvky síťové infrastruktury, které by skupina, kterou označujeme jako XDSpy sdílela s jinou APT skupinou. Proto usuzujeme, že je XDSpy je zcela nová dosud neznámá skupina útočníků,“ podotkl Dvořák.

Operátoři XDSpy využívají ke kompromitaci svých obětí cílené phishingové e-maily. „Některé obsahovaly přílohu, jiné jen odkaz na nebezpečný soubor. První vrstva škodlivého souboru nebo přílohy byl obvykle ZIP nebo RAR archiv, který obsahoval LNK soubor stahující škodlivý skript. Ten pak stahoval a instaloval XDDown, hlavní malware této skupiny,“ přiblížil technickou stránku útoku Dvořák.

„Na konci června 2020 operátoři změnili taktiku a začali zneužívat chybu zabezpečení v aplikaci Internet Explorer označenou jako CVE-2020-0968. Přitom byla tato chyba opravena již v dubnu 2020. V příloze zpráv se tak namísto archivu začal objevovat dokument ve formátu RTF. Ten po svém otevření stáhl HTML soubor zneužívající zmíněnou zranitelnost v tomto prohlížeči,“ doplnil bezpečnostní expert.

Zneužívali situace okolo koronaviru

Přinejmenším dvakrát v letošním roce útočníci z této skupiny připravili e-maily, které zneužívaly situace okolo pandemie koronaviru. Podle dostupných informací nicméně nedošlo k úniku dat z České republiky. „Cíle skupiny XDSpy se nacházely ve východní a jihovýchodní Evropě. Šlo především o vládní subjekty, včetně armády, ministerstev zahraničních věcí, ale i soukromých společností,“ podotkl Dvořák.

„XDSpy klasifikujeme jako APT skupinu, tedy zločince, kteří se zaměřují na tvorbu pokročilých trvalých hrozeb. V praxi tyto skupiny stojí za kybernetickými útoky, jejichž cílem je dlouhodobě infiltrovat cílový systém a vytěžit strategické, utajované nebo neveřejné informace. Podobné útoky jsou nebezpečné právě kvůli tomu, jak pečlivě jsou připravované a jak pokročilé a adaptivní techniky využívají. APT skupiny se typicky zaměřují na státní úřady či jinak strategicky významné cíle,“ uzavřel bezpečnostní expert.

yknivoNumanzeSaNyknalC
Sdílejte článek

Seznam.cz zavádí tlačítko Líbí se

Dejte redakci i ostatním čtenářům vědět, jaký obsah stojí za přečtení.

Články s nejvyšším počtem Líbí se se budou častěji zobrazovat na hlavní stránce Seznamu a přečte si je více lidí. Nikomu tak neuniknou zajímavé zprávy.

Reklama

Výběr článků