Ruská agrese proti Ukrajině se nesoustředí jen na použití hrubé síly raket či tanků. Mnoho útoků se odehrává také v kybernetickém prostoru vyhrazeném jedničkám a nulám. Kyberbezpečnostní agentura Cisco Talos rozkryla další hackerský útok na Ukrajinu, za kterým velmi pravděpodobně stojí útočníci přímo financovaní a řízení Ruskem. Nebezpečí umocňuje fakt, že útok cílí na velkou softwarovou firmu, která je dodavatelem ukrajinských vládních organizací.
Experti z Cisco Talos odhalili malware namířený proti významné softwarové společnosti, jejíž produkty používají ukrajinské státní instituce. A prohlásili, že se pravděpodobně jedná o útok hackerů sponzorovaných ruským státem. Cisco Talos soudí, že konečným cílem hackerské kampaně mohlo být takzvané napadení dodavatelského řetězce.
Tak se označují napadení, kdy se útočníkovi podaří propašovat škodlivý kód do hardwaru nebo softwaru (jako v tomto případě) důvěryhodného IT dodavatele. Virus se potom může šířit například tak, že v organizaci, která daný software využívá, proběhne rutinní aktualizace a s ní se do sítě dostane i podvržený škodlivý kód.
Vzhledem k tomu, že některé aplikace mají například stovky tisíc uživatelů, je pak nebezpečí plynoucí z napadení dodavatelského řetězce skutečně velké. Cisco Talos však zároveň uvedla, že zatím nemá náznaky, že by k napadení dodavatelského řetězce reálně došlo.
Škodlivý software, který odhalili experti Cisco Talos, se poprvé objevil v květnu, představuje specializovanou verzí open-source backdoor GoMet a je určen k udržení trvalého vzdáleného přístupu do sítě. Nově objevený škodlivý kód představuje tzv. backdoor, což je kód umožňující přes počítačovou síť převzít kontrolu nad infikovanými počítači a ovládat je na dálku. Útočníkovi dovoluje například nahrávat a stahovat soubory, spouštět příkazy a používat zařízení jako oporu k šíření do dalších sítí a systémů. Škodlivý implantát přitom obsahuje tzv. cron, funkci, která se spouští každé dvě sekundy a kontroluje, zda je malware propojen s příkazovým a řídícím serverem. Konkrétně se škodlivá aktivita projevovala jako falešně naplánované úlohy aktualizace systému Windows.
Tým Cisco Talos již od počátku ruské agrese úzce spolupracuje s ukrajinskými zákazníky, jimž poskytuje 24/7 přímou bezpečnostní podporu. Na sběru a vyhodnocování kyberbezpečnostních informací s možnou souvislostí s Ukrajinou a na podpoře týmu Cisco Talos pracuje napříč společností Cisco na 500 lidí.
Více informací na: https://blog.talosintelligence.com/2022/07/attackers-target-ukraine-using-gomet.html