Výskumníci bezpečnostnej spoločnosti ESET odhalili škodlivý kód, ktorý unikal pozornosti antimalware výskumníkov minimálne od roku 2008.
Tento malware je detegovaný ako Win32/Prikormka a je používaný na kyberšpionážne aktivity primárne zacielené na protivládnych separatistov samovyhlásenej Doneckej ľudovej republiky a Luhanskej ľudovej republiky.
Moduly tohto škodlivého kódu dokážu kradnúť dokumenty z infikovaného zariadenia a taktiež z externých pamäťových jednotiek pripojených k počítaču cez USB, zaznamenávať stlačené klávesy, zvuky cez mikrofón počítača a taktiež hovory uskutočňované cez Skype, geograficky lokalizovať infikované zariadenie a zhromažďovať informácie o počítači (napríklad stav batérie v laptope alebo verziu operačného systému a používaný bezpečnostný softvér). Dokážu však zbierať aj heslá uložené v aplikáciách, napríklad v internetových prehliadačoch Google Chrome, Opera a Mozilla Firefox. Zameriavajú sa však aj na prehliadače Yandex a Rambler, ktoré sú populárne v rusky hovoriacich krajinách. Z výskumu tiež vyplýva, že útočníci plynulo ovládajú ruský a ukrajinský jazyk a taktiež majú prehľad o aktuálnej politickej situácii na Ukrajine.
„Spolu s ozbrojeným konfliktom vo východnej Ukrajine sa vo vnútri krajiny udialo niekoľko cielených kyberútokov, takzvaných Advanced Persistent Threats. Objavili sme napríklad niekoľko kampaní, ktoré používajú teraz už neslávne známu rodinu škodlivého kódu BlackEnergy, ktorých výsledkom bol masívny výpadok elektrického prúdu. V operácii Groundbait je však použitý doposiaľ neznámy škodlivý kód,“ hovorí Róbert Lipovský, výskumník škodlivého kódu zo spoločnosti ESET.
Škodlivý kód použitý útočníkmi sa šíril väčšinou cielenými phishingovými e-mailmi, ktoré obsahovali návnadový dokument so zaujímavým názvom. Práve jeho názov mal obeť naviesť k tomu, aby dokument otvorila. Jej počítač sa následne infikoval.
Celá operácia Groundbait alebo Prikormka bola ESETom pomenovaná podľa konkrétnej kampane, ktorú tento škodlivý kód použil na propagáciu. Jej súčasťou bol totiž dokument obsahujúci cenník návnad pre ryby, po anglicky Groundbait a po rusky Prikormka. „Výber tohto návnadového dokumentu samotnými útočníkmi sme doteraz nedokázali vysvetliť,“ vysvetľuje Lipovský.
Ostatné návnadové dokumenty však mali názov spojený s aktuálnou geopolitickou situáciou na Ukrajine a s vojnou v Donbase. Napríklad „Od Rusa: Schéma demilitarizovanej zóny v Šyrokyne“ alebo „Od Rusa: Adresár ministerstiev – aktualizované“. Iné návnadové dokumenty naznačujú, že útočníci mohli cieliť aj na ukrajinskú nacionalistickú stranu Pravý sektor a niekoľko vysoko postavených osôb.
Dodnes bolo identifikovaných viac než 80 odlišných identifikačných čísiel kampaní. Jedno identifikačné číslo je pritom väčšinou použité proti jednému cieľu, ktorým môže byť konkrétna osoba, organizácia alebo skupina ľudí.
Ako je pri cielených útokoch bežné, pomenovať zdroj tohto útoku je komplikované, pretože presvedčivé dôkazy sa hľadajú ťažko. Výskum tiež ukázal, že útočníci operujú priamo z Ukrajiny. Nech už sú kýmkoľvek, je pravdepodobne rozumné predpokladať, že táto kyberšpionážna operácia je politicky motivovaná. “Akýkoľvek ďalší pokus priradiť tento útok k niekomu by bol čistou špekuláciou. Okrem separatistov sú medzi obeťami aj ukrajinskí vládni predstavitelia, politici a novinári. Treba brať do úvahy aj možnosť operácie pod falošnou vlajkou,” dodáva Lipovský.
Na Ukrajine je v poslednej dobe škodlivý kód používaný pri viacerých vysokoprofilových útokoch. Len v decembri zostalo jeden a pol milióna obyvateľov západnej Ukrajiny bez elektrického prúdu a to následkom kybernetického útoku na spoločnosti distribuujúce elektrinu, pri ktorej útočníci použili škodlivý kód BlackEnergy. Na špehovanie ukrajinskej vlády, vojenských organizácií a veľkej ukrajinskej spravodajskej agentúry bol zase použitý škodlivý kód Win32/Potao.