V závěru minulého týdne vydali bezpečnostní analytici ESET zprávu o tzv. zero day exploitu, který umožnil útočníkům provádět vysoce cílené útoky ve východní Evropě. Hackerská skupina zneužívala zranitelnosti pro přidělování lokálních práv v Microsoft Windows. Tým společnosti ESET nyní dokázal určit identitu útočníků. Jedná se o skupinu Buhtrap APT, která se zaměřuje na špionáž ve východní Evropě a střední Asii.
Skupina Buhtrap dlouhodobě cílí na finanční instituce a firmy v Rusku. Nicméně od konce roku 2015 jsme svědky toho, že skupina změnila profil svých cílů. Tato kriminální organizace páchající kybernetický zločin pro finanční zisk tak postupně rozšířila své portfolio malware i o nástroje určené k provádění špionáže.
„V situaci, kdy jsou zdrojové kódy nástrojů použitých během této kampaně volně dostupné na webu, je těžké ji přisoudit někomu konkrétnímu. Nicméně v tomto případě jsme na základě našich poznatků usoudili, že za útoky na vládní instituce stojí s největší pravděpodobností stejní lidé, kteří stáli i za prvními útoky skupiny Buhtap na firmy a banky,“ říká Jean-Ian Boutin, vedoucí výzkumného týmu společnosti ESET. „Zatím není zřejmé, zda se své zaměření rozhodl změnit jeden či vícero členů skupiny, stejně jako není znám důvod této změny. Jde ale o věc, kterou se budeme nadále zabývat.“
Jak ukazují závěry analytiků z ESET, útočníci přidali do svého arzenálu nové nástroje a aktualizovali ty staré. Taktika, technika a procesy, které byly použity v jiných kampaních skupiny Buhtrap, se v průběhu posledních let výrazně nezměnily. Dokumenty používané k šíření jejich malware bývají maskovány neškodným textovým obsahem, tak aby nevyvolaly při svém otevření žádné podezření. Analýza těchto dokumentů poskytuje analytikům vodítka k tomu, na koho mohou být cíleny.
Útočníci usilovali o hesla obětí
V této specifické kampani obsahoval distribuovaný malware mimo jiné i nástroj ke sběru hesel, který se pokoušel získat hesla z e-mailových klientů, webových prohlížečů a podobně. Získané údaje poté zasílal na řídící server útočníků. Ti měli rovněž úplný přístup do kompromitovaného systému.
„Podstatou tohoto incidentu je skutečnost, že spuštěním běžné aplikace na starším systému Windows bez patřičné záplaty win32k.sys je útočník schopen získat nejvyšší systémová oprávnění a ovládnout tak kompletně napadené zařízení,“ vysvětluje Miroslav Dvořák, technický ředitel české pobočky společnosti ESET.
Společnost ESET ohlásila exploit společnosti Microsoft, která zranitelnost opravila a vydala příslušnou aktualizaci.
Důležité milníky útoků skupiny Buhtrap na časové ose:
• Duben 2014: První zachycený backdoor skupiny Buhtrap, který cílil na ruské firmy.
• Podzim 2015: Skupina Buhtrap se začíná zaměřovat přímo na finanční instituce.
• Prosinec 2015: Backdoor skupiny Buhtrap detekován na zařízeních státních institucí.
• Únor 2016: Škodlivý kód skupiny Buhtrap uniká na web.
• Červen 2019: Použití tzv. zero day útoku na státní instituce.