Словацкая антивирусная компания ESET заявила об обнаружении таргетированной кампании кибершпионажа в Украине. Согласно ее исследованию, операция «Прикормка» имеет украинское происхождение и нацелена на «антиправительственных представителей самопровозглашенных Донецкой и Луганской Народных Республик», а также украинских госчиновников, политиков, журналистов и другие ведомства. В исследовании детально описываются методы атаки и предоставляются данные и рекомендации, как обнаружить вредоносное ПО.

Материал дополнен официальной позицией компании ESET

«Операция Groundbait («Прикормка») является текущей операцией кибернаблюдения за отдельными личностями в Украине. Группа злоумышленников, задействованная в операции, запустила целенаправленную и, возможно, политически мотивированную атаку для шпионства за наперед определенными целями», — утверждается в основных положениях исследования ESET.

В третьем квартале 2015 года специалисты словацкой компании выявили ранее неизвестное модульное семейство вредоносных программ Prikormka. Она является типичной троянской программой-кибершпионом, которая позволяет красть данные с инфицированных компьютеров. Дальнейшие исследования показали, что угроза появилась еще в 2008 году, но семь лет оставалась незамеченной из-за низкого количества угроз. С 2014 года их количество возросло и случаи заражения Prikormka были зафиксирована в Бельгии, Пакистане, России и Украине. По данным ESET, более 80% угроз пришлось на нашу страну.

Screenshot_1

Статистика обнаружений Prikormka по странам

Рыбаки и рыбки

Один из первых примеров вредоносного ПО, который проанализировали специалисты антивирусной компании, стал файл prikormka.exe. Он и другие программы того же семейства распространялись в качестве вложения или ссылки на скачивание в фишинговых письмах. После запуска вредоносного исполняемого файла, он открывал документ-приманку, которая отвлекала внимание пользователя. В это время основной код выполнял необходимые хакерам действия.

Ключевым для успешности подобных «операций» является качество подготовки фишингового письма. Если письмо и документы касаются жертвы и не вызывают подозрения, то он их откроет. Анализируя их и специальные идентификаторы, встроенные в каждый экземпляр Prikormka, в ESET попытались определить цели атак злоумышленников.

«Большое количество документов-приманок, использованных в атаках Prikormka, использует темы, касающиеся самопровозглашенных Донецкой и Луганской Народных Республик. Кроме того, ряд документов-приманок содержит личные данные, в частности, внутреннюю статистику и документы, которые, вероятно, используются во внутреннем документообороте самопровозглашенных республик. Это свидетельствует о том, что операторы ПО специально атаковали людей этих регионов», — приходят к выводу в ESET.

Несколько примеров названий зараженных вложений, перед открытием которых не смогли устоять адресаты:

  • Нацгвардейцы со шприцами сделали из донецкого мальчика мишень для ракет.exe
  • Последнее обращение командира бригады ‘Призрак’ Мозгового Алексея Борисовича к солдатам и офицерам ДНР и ЛНР.scr
  • Места дислокации ВСУ в зоне проведения АТО.scr

Среди документов-приманок, которые видели цели в ДНР и ЛНР, «Справочник по министерствам обновленный.exe», который открывал документ-приманку с перечнем министерств сепаратистов. Еще один пример, который приводят в ESET, файл «материалы к зачету по законодательству.exe», открывающий ряд документов, включая «конституцию ЛНР». Идентификатор кампании с этим файлом имеет название L_ment. Тут словацкая фирма утверждает, что «использование в названии сленгового слова «мент» говорит о свободном владении злоумышленниками русским языком». Также утверждается, что большинство кампаний, направленных на сепаратистские территории имеют префиксы идентификаторы L и D, что «вполне вероятно, означает» ДНР и ЛНР.

Screenshot_3

Пример документа-приманки

Помимо Востока Украины следы Prikormka также выявили на Западе. Поскольку одна из кампаний имела файл с названием на украинском «План ДНР на 21 липня, щодо відводу військ.exe» и была обнаружена в западных областях, в ESET утверждают, что злоумышленники владеют украинским. Идентификатором этой кампании является Psek, «что свидетельствует о том, что члены украинской националистической партии «Правый сектор» тоже были под прицелом киберзлодеев».

Откуда и зачем

В ходе исследования специалисты антивирусной компании выявили ряд командных серверов, с которых происходило управление Prikormka. Семь из восьми серверов находились на бесплатном хостинге ho.ua. Один из них, girls.ho.ua с информацией о Киеве, использовался с 2008 года.

Screenshot_4

Сайт-прикрытие для сервера командного центра, созданный хакерами

Антивирусным аналитикам удалось получить доступ к одному из командных серверов. После анализа журналов, найденных там, они выявили 33 жертвы в основном из Восточной Украины, но было также несколько из России и Киева. Также удалось установить, что несколько хакеров получали доступ к серверу через интернет-провайдера Киева и Мариуполя.

Итак, основные аргументы ESET: большинство командных серверов находятся в Украине, злоумышленники свободно владеют украинским и русским языками, некоторые интернет-провайдеры расположены в украинских городах, а хакеры были активны в рабочее для Украины время.

Из этого словацкие специалисты сделали выводы, что «реализаторы операции «Прикормка» заинтересованы в наблюдении и шпионстве за сепаратистами Донецкой и Луганской областей», а также некоторыми целями «особой важности», включая украинских политиков. «Операторы вредоносной программы владеют украинским и русским и, вероятно, работают на территории Украины». В ESET также нарекли Prikormka «первым выявленным украинским вредоносным программным обеспечением».

«Любые дальнейшие попытки указать на авторов атаки в этом моменте будут спекулятивными. В дополнение к сепаратистам, среди целей кампании есть украинские госчиновники, политики и журналисты. Возможность проведения операции под ложным флагом (чтобы она умышленно казалась проведенной украинцами – Ред.) также не стоит отбрасывать», — дипломатично заключает специалист ESET Роберт Липовский.

В конце исследования словацкая компания предоставляет данные для обнаружения вредоносного ПО, тем самым давая представителям ДНР и ЛНР инструменты защиты от украинских «злоумышленников».

На запрос AIN.UA, в ESET сообщили, что не нейтрализовали работу хакеров, а лишь исследовали их деятельность. Во время проведения исследования компания контактировала только с украинскими правительственными учреждениями для решения проблем их безопасности и никоим образом не взаимодействовала с сепаратистами. По словам представителя PR-службы ESET Бранислава Ондрасика, анализируемые образцы вредоносного ПО, которые поразили компьютеры сепаратистов, брались с международного сервиса VirusTotal и компании неизвестна текущая ситуация с компьютерной безопасностью на оккупированных территориях.

“Компания ESET всегда остается в стороне от политических вопросов, и этот раз не стал исключением. Компания ESET всегда придерживается терминологии и правил международного сообщества, представленного Организацией Объединенных Наций, и, будучи компанией Европейского Союза, всегда придерживается его правил (в том числе по вопросам территориальной целостности Украины)”, – говорится в официальном заявлении ESET.

Напомним, что ранее украинская киберполиция обезвредила бот-сеть из 4000 компьютеров по рассылке спама.