Антивирусная компания «вскрыла» антитеррористическую операцию украинских спецслужб

30 мая 2016 г.

Компания ESET сорвала операцию «Прикормка», фактически защитив террористов Донбасса от украинских кибершпионов.

Словацкая антивирусная компания ESET заявила об обнаружении таргетированной кампании кибершпионажа в Украине. Согласно ее исследованию, операция «Прикормка» имеет украинское происхождение и нацелена на «антиправительственных представителей самопровозглашенных Донецкой и Луганской Народных Республик», а также украинских госчиновников, политиков, журналистов и другие ведомства. В исследовании детально описываются методы атаки и предоставляются данные и рекомендации, как обнаружить вредоносное ПО, пишет на сайте AIN.ua Павел Красномовец.

«Операция Groundbait («Прикормка») является текущей операцией кибернаблюдения за отдельными личностями в Украине. Группа злоумышленников, задействованная в операции, запустила целенаправленную и, возможно, политически мотивированную атаку для шпионства за наперед определенными целями», — утверждается в основных положениях исследования ESET.

В третьем квартале 2015 года специалисты словацкой компании выявили ранее неизвестное модульное семейство вредоносных программ Prikormka. Она является типичной троянской программой-кибершпионом, которая позволяет красть данные с инфицированных компьютеров. Дальнейшие исследования показали, что угроза появилась еще в 2008 году, но семь лет оставалась незамеченной из-за низкого количества угроз. С 2014 года их количество возросло и случаи заражения Prikormka были зафиксирована в Бельгии, Пакистане, России и Украине. По данным ESET, более 80% угроз пришлось на нашу страну.

Статистика обнаружений Prikormka по странам

Рыбаки и рыбки

Один из первых примеров вредоносного ПО, который проанализировали специалисты антивирусной компании, стал файл prikormka.exe. Он и другие программы того же семейства распространялись в качестве вложения или ссылки на скачивание в фишинговых письмах. После запуска вредоносного исполняемого файла, он открывал документ-приманку, которая отвлекала внимание пользователя. В это время основной код выполнял необходимые хакерам действия.

Ключевым для успешности подобных «операций» является качество подготовки фишингового письма. Если письмо и документы касаются жертвы и не вызывают подозрения, то он их откроет. Анализируя их и специальные идентификаторы, встроенные в каждый экземпляр Prikormka, в ESET попытались определить цели атак злоумышленников.

«Большое количество документов-приманок, использованных в атаках Prikormka, использует темы, касающиеся самопровозглашенных Донецкой и Луганской Народных Республик. Кроме того, ряд документов-приманок содержит личные данные, в частности, внутреннюю статистику и документы, которые, вероятно, используются во внутреннем документообороте самопровозглашенных республик. Это свидетельствует о том, что операторы ПО специально атаковали людей этих регионов», — приходят к выводу в ESET.

Несколько примеров названий зараженных вложений, перед открытием которых не смогли устоять адресаты:

- Нацгвардейцы со шприцами сделали из донецкого мальчика мишень для ракет.exe
- Последнее обращение командира бригады ‘Призрак’ Мозгового Алексея Борисовича к солдатам и офицерам ДНР и ЛНР.scr
- Места дислокации ВСУ в зоне проведения АТО.scr

Среди документов-приманок, которые видели цели в ДНР и ЛНР, «Справочник по министерствам обновленный.exe», который открывал документ-приманку с перечнем министерств сепаратистов. Еще один пример, который приводят в ESET, файл «материалы к зачету по законодательству.exe», открывающий ряд документов, включая «конституцию ЛНР». Идентификатор кампании с этим файлом имеет название L_ment. Тут словацкая фирма утверждает, что «использование в названии сленгового слова «мент» говорит о свободном владении злоумышленниками русским языком». Также утверждается, что большинство кампаний, направленных на сепаратистские территории имеют префиксы идентификаторы L и D, что «вполне вероятно, означает» ДНР и ЛНР.

Пример документа-приманки

Помимо Востока Украины следы Prikormka также выявили на Западе. Поскольку одна из кампаний имела файл с названием на украинском «План ДНР на 21 липня, щодо відводу військ.exe» и была обнаружена в западных областях, в ESET утверждают, что злоумышленники владеют украинским. Идентификатором этой кампании является Psek, «что свидетельствует о том, что члены украинской националистической партии «Правый сектор» тоже были под прицелом киберзлодеев».

Откуда и зачем

В ходе исследования специалисты антивирусной компании выявили ряд командных серверов, с которых происходило управление Prikormka. Семь из восьми серверов находились на бесплатном хостинге ho.ua. Один из них, girls.ho.ua с информацией о Киеве, использовался с 2008 года.

Сайт-прикрытие для сервера командного центра, созданный хакерами

Антивирусным аналитикам удалось получить доступ к одному из командных серверов. После анализа журналов, найденных там, они выявили 33 жертвы в основном из Восточной Украины, но было также несколько из России и Киева. Также удалось установить, что несколько хакеров получали доступ к серверу через интернет-провайдера Киева и Мариуполя.

Итак, основные аргументы ESET: большинство командных серверов находятся в Украине, злоумышленники свободно владеют украинским и русским языками, некоторые интернет-провайдеры расположены в украинских городах, а хакеры были активны в рабочее для Украины время.

Из этого словацкие специалисты сделали выводы, что «реализаторы операции «Прикормка» заинтересованы в наблюдении и шпионстве за сепаратистами Донецкой и Луганской областей», а также некоторыми целями «особой важности», включая украинских политиков. «Операторы вредоносной программы владеют украинским и русским и, вероятно, работают на территории Украины». В ESET также нарекли Prikormka «первым выявленным украинским вредоносным программным обеспечением».

«Любые дальнейшие попытки указать на авторов атаки в этом моменте будут спекулятивными. В дополнение к сепаратистам, среди целей кампании есть украинские госчиновники, политики и журналисты. Возможность проведения операции под ложным флагом (чтобы она умышленно казалась проведенной украинцами – Ред.) также не стоит отбрасывать», — дипломатично заключает специалист ESET Роберт Липовский.

В конце исследования словацкая компания предоставляет данные для обнаружения вредоносного ПО, тем самым давая представителям ДНР и ЛНР инструменты защиты от украинских «злоумышленников».

AIN.UA обратился за комментариями о данной операции к СБУ, а также авторам исследования, но пока не получил eiqduidruiqzqkmp ответа.

Теги статьи: Хакеры Кибербезопасность ESET