Hlavní navigace

Ruský malware pořizuje screenshoty počítačů a posílá je přes české e-maily

Jan Sedlák

Skupina označovaná jako APT28, Fancy Bear nebo Sofacy, která má napojení na ruské tajné služby a která podle BIS stojí za útoky na české státní instituce, aktivně šíří další škodlivý kód. Útoky mají probíhat minimálně od října letošního roku a mezi napadené už patří vládní organizace ve Spojených státech, Evropě a nespecifikované zemi bývalého Sovětského svazu.

S popisem útoku nazvaného Cannon přišla společnost Palo Alto Networks. Cannon na napadených počítačích každých 10 sekund pořizuje screenshot obrazovky, který následně odesílá k útočníkům. Toto posílání probíhá přes prostředníka – konkrétně jde o e-mailové adresy hostované na doméně post.cz. Ta spadá pod Seznam.cz a jeho Email.cz.

E-maily jsou přeposílány přes adresy sahro.bella7(at)post.cz, trala.cosh2(at)post.cz, bishtr.cam47(at)post.cz, lobrek.chizh(at)post.cz a cervot.woprov(at)post.cz. Technický popis kampaně je k dispozici zde.

Skupina APT28 pravděpodobně stojí také za škodlivým kódem LoJax, který u počítačů napadá UEFI. Napadení mělo podle ESETu proběhnout také v organizacích ve střední a východní Evropě.

Našli jste v článku chybu?