Známa ruská hekerská skupina APT28 (alias Fancy Bear, Sofacy či Sednit) nedávno zahájila ďalšiu zo svojich cielených kybernetických operácií. Ako informovali experti na kybernetickú bezpečnosť zo spoločnosti QuoIntelligence, skupina iniciovala malvérovú kampaň označovanú ako Zebrocy. Jej terčom sa stali vládne počítače členov i partnerov Severoatlantickej aliancie.
Malvér Zebrocy je na prvý pohľad veľmi ťažko detekovateľný – v čase analýzy mala jeho vzorka v databáze VirusTotal skóre 3/61.
(Zdroj: BleepingComputer)
NATO ako návnada
Experti varujú pred škodlivým súborom označeným „Course 5 – 16 October 2020.zipx“, ktorý bol pravdepodobne distribuovaný od 5. augusta 2020. Súbor na prvý pohľad obsahuje komprimované súbory o cvičeniach NATO.
„Ak je súbor premenovaný ako JPG,“ vysvetľujú experti, „operačný systém zobrazí logo Vrchného veliteľstva spojeneckých síl v Európe (SHAPE).“ Súbor sa tak javí ako veľmi dôveryhodný.
Reťazenie obrázkových súborov je obľúbenou technikou útočníkov, ktorí veria, že antivírusy či iné filtračné systémy si môžu takýto súbor pomýliť s obyčajným obrázkovým súborom a tak ho preskočiť.
Po rozzipovaní súbor odhalí rovnomenný XLS a EXE súbor. Prvý z menovaných je poškodený, Microsoft Excel ho neotvorí. Obeť by tak podľa pravdepodobnej logiky útočníka mala otvoriť súbor vo formáte EXE, ktorý má ako ďalšiu návnadu ikonu PDF. Spustí však Zebrocy – tzv. first-stage malvér vo verzii Delphi.
Podľa portálu Bleeping Computer ide o „pretrvávajúcu malvérovú infekciu a zadné vráta s viacerými funkciami“. Zebrocy dokáže napríklad vykonávať prieskum systému, vytvárať a meniť súbory či vytvárať plánované úlohy.
Jeho C&C server bol podľa QuoIntelligence situovaný vo Francúzsku. O prezentovaných zisteniach by už v tejto súvislosti mali byť informované tak francúzske autority, ako aj NATO.
Už známa firma
Výskumníci so stredne vysokou istotou dodávajú, že „kampaň bola zameraná na špecifický vládny orgán v Azerbajdžane […]. Je [však] pravdepodobné, že útočníci cielili aj na členov NATO alebo na iné krajiny zapojené do cvičení NATO.“
S rovnakou mierou istoty bol útok pripísaný APT skupine Fancy Bear. Tá totiž vo svojich útokoch na vládne orgány krajín Európy a Strednej Ázie nepoužíva malvér Zebrocy prvýkrát.
Napríklad koncom roka 2018 spoločnosť Accenture Security detailne informovala o podobnej kampani, ktorá bol taktiež pripísaná skupine APT28.
Cieľom vtedajšieho útoku boli podľa SOC Prime rovnako vládne subjekty členov NATO a krajín Strednej Ázie. Škodlivý dokument vo formáte DOCX, ktorý sa týkal rokovaní ohľadom BREXITu, mal prenášať Delphi verziu malvéru Zebrocy.
Kristína Žaková