Avast Press

APT útok: Skupina hackerů špehovala středoasijské firmy a státní instituci

Written by Avast PR | května 14, 2020

Praha, 14. května 2020 – Avast (LSE:AVST), globální lídr v oblasti digitálního zabezpečení a ochrany soukromí, dnes zveřejnil analýzu útoků na středoasijské firmy a instituce. Šlo o takzvaný APT útok (advanced persistent threat; pokročilé trvalé hrozby). Na rozboru vzorků malwaru z dílny hackerů, kteří špehovali telekomunikační a plynárenské společnosti a státní instituci ve Střední Asii, spolupracoval Avast s experty ze společnosti ESET. 

Na základě analýzy Avast předpokládá, že jde o stejnou skupinu, která stojí také za aktivními útoky v Mongolsku, Rusku a Bělorusku. Pravděpodobně jde o hackery z Číny, čemuž nasvědčuje jednak to, že použili malware Gh0st RAT, který v minulosti používaly právě čínské APT skupiny, a dále pak podobnosti mezi kódy, které analyzoval Avast a těmi, které už byly dříve přiřazeny právě čínským aktérům. 

K získání dlouhodobého přístupu do korporátních sítí využívali hackeři zadní vrátka (backdoor). Ta jim umožnila manipulovat se soubory, mazat je, pořizovat snímky obrazovky, upravovat procesy či spouštět konzolové příkazy. Mimo to se mohla také sama odstranit. Některé z příkazů dokázaly backdooru nařídit, aby vyfiltroval data zpět na řídicí C&C server, a ten  pak mohl dát nakaženým zařízením povel, aby se chovala jako prostředník nebo odposlouchávala konkrétní port v každém síťovém rozhraní. Hackeři používali k pohybu v síti také další nástroje, jako je malware Gh0st RAT a rozhraní Windows Management Instrumentation.

„Skupina, která za těmito útoky stojí, se snažila vyhnout detekci antivirem, a proto často přeprogramovávala své nástroje, mezi které kromě backdoorů patřily také Mimikatz a Gh0st RAT. Díky tomu jsme získali velké množství vzorků, jejichž binární soubory jsou však chráněné softwarem VMProtect, o to složitější je jejich analýza,“ vysvětluje bezpečnostní výzkumník z Avastu Luigino Camastra. „Na základě našich zjištění a faktu, že jsme prvky těchto útoků dokázali propojit s útoky v jiných zemích, předpokládáme, že skupina cílí i na další země.“

Avast nález ohlásil místnímu CERT týmu počítačové bezpečnosti a spojil se také s telekomunikační společností, kterou útočníci napadli.

Kompletní analýzu vzorků, které Avast objevil, můžete najít zde.