Na Blízkom východe vyčíňa nový aktér

Zdá sa, že jeho nástroje sú stále v počiatočnej fázy vývoja.
Na Blízkom východe vyčíňa nový aktér

Výskumníci zo spoločnosti Kaspersky objavili vzorky nového malvéru, ktorý sa od minulého roku šíri na Blízkom východe. Nič ale nenaznačuje tomu, že by išlo o prácu známej hekerskej skupiny.

Tento trójsky kôň pomenovaný Milum spoločnosť zaznamenala v auguste 2019. Mieril na viacero firiem, pričom niektoré z nich pochádzali z priemyselného sektoru.

Analýza jednej vzorky odhalila, že útočníci napísali nástroj v jazyku C++ a skompilovali ho v marci minulého roku – teda len dva mesiace pred jeho prvým použitím pri útoku. Ďalšie indície naznačili, že išlo o pilotnú verziu 1.0.1, ktorú by v budúcnosti mohla nahradiť verzia napísaná v inom programovacom jazyku. Nie je však jasné, ako sa malvér šíri.

Podľa analytika Denisa Legeza sa tieto útoky nepodobajú na žiadnu známu skupinu a hekeri pravdepodobne len kopírujú techniky sofistikovanejších útočníkov.

„Náš nástroj na prisúdenie hrozbám neukázal žiadne podobnosti v kóde so známymi kampaňami. Nespozorovali sme ani žiadny prienik medzi cieľmi. V skutočnosti, našli sme len tri takmer jedinečné vzorky, všetky v jednej krajine. Preto predpokladáme, že útoky sú cielené a operáciu sme tak pomenovali WildPressure.“

V rozhovore pre BleepingComputer Legezo dodal, že zatiaľ neexistujú dôkazy o tom, že skupina WildPressure plánuje viac, než len zbierať informácie z počítačových sietí obetí. To by sa však v budúcnosti mohlo zmeniť, pretože jej operácia naďalej pretrváva a mohla by sa vyvinúť v iný typ útoku.

Zdroj: Kaspersky

Útočili Turci aj Iránci

V minulom roku sa do kybernetických operácií proti krajinám Blízkeho východu zapojili aj Turecko a Irán. V prvom prípade išlo o rozsiahlu kampaň nazvanú Sea Turtle, ktorá mimo iné mierila aj na vládne orgány a veľvyslanectvá na Balkáne. Útočníci vtedy využili techniku známu ako únos DNS, vďaka ktorej mohli obete presmerovať na nimi vybrané webstránky.

Naopak, za novým deštruktívnym malvérom, ktorý napádal spoločnosti z energetického a priemyselného sektora stála zrejme iránska skupina OilRig. Podobne ako známy nástroj Shamoon, aj tento prepisoval hlavné bootovacie záznamy a oddiely na pevných diskoch v počítačoch s operačným systémom Windows.

(VK)