Venezuelská armáda přišla kvůli úspěšné kyberšpionáži o gigabajty důvěrných dokumentů, zjistil to výzkumný tým bezpečnostní společnosti ESET při mapování aktivit nové verze za backdooru Machete, která byla poprvé objevena před rokem.
Během pouhých tří měsíců, mezi březnem a květnem letošního roku, odhalili analytici společnosti přes 50 napadených počítačů státních institucí v Latinské Americe. Více než polovina napadených počítačů patří venezuelským ozbrojeným silám. Napadané stroje komunikovaly s řídícím serverem patřícím skupině. Útočníci pravidelně měnili samotný malware, jeho infrastrukturu i techniky tzv. spearphishingu. Mezi cíli byly i další instituce, od policie a školství až po ministerstva zahraničních věcí. Většina útoků (75 %) se odehrála ve Venezuele, dalších 16 % v Ekvádoru, kde byla cílem opět primárně armáda. K dalším incidentům došlo v Kolumbii (7 %) a Nikaragui (2 %). Skupina, která stojí za těmito útoky, ukradla každý týden gigabajty důvěrných dokumentů. Skupina zůstává stále vysoce aktivní.
„Útočníci se při krádežích zaměřují nejen na běžné dokumentové formáty ale i na některé specifické, například ty, které používají geografické informační systémy (GIS). Skupina se zajímá především o soubory popisující navigační trasy a umístění objektů pomocí vojenských navigačních souřadnic (MGRS),“ komentuje analytik společnosti Matias Porolli.
Skupina útočníků stojící za backdoorem zasílá velmi specifické phishingovée-maily přímo svým obětem. Ve snaze oklamat oběť, používají operátoři Machete pravé, dříve odcizené dokumenty, například utajené vojenské informace. Mezi nimi byly například radiogramy. K tvorbě přesvědčivých phisingových e-mailů útočníci využívají detailní znalost vojenského žargonu a etikety.
Samotný backdoor se instaluje postupně, útok začíná samorozbalovacím souborem, který obsahuje dokument sloužící jako návnada a pokrčuje stažením a instalací komponenty backdooru. Ten se skládá ze špionážních komponent, které umožňujíkopírování a šifrovaných dokumentů, vytváření snímků obrazovky nebo záznam stisknutých kláves.
Komponenta mající na starosti persistenci v systému se spouští každých 30 minut a je schopna instalovat i další moduly. Komunikace s řídícím serverem probíhá v intervalu 10 minut, tak aby bylo zajištěno brzké odesláníukradených dat. Jednotlivé části backdooru se v souborovém systému snaží zůstat bez povšimnutí využitím slova „Google“ ve svém názvu.
