Hackeři opět zneužili populární messenger ke špionážním útokům

Odborníci společnosti Kaspersky Lab odhalili vlnu cílených útoků zaměřených na diplomatické subjekty. V jejich zařízeních kyberzločinci prováděli špionáž prostřednictvím trojského koně Octopus. Ten maskovali jako oblíbený messenger, který na sebe upoutal pozornost uživatelů šířením zprávy o možném lokálním zákazu komunikační aplikace Telegram. Po svém spuštění umožnil trojan Octopus útočníkům přímý vstup do počítačů obětí.

Kyberzločinci jsou velmi obratní ve využívání aktuálního celospolečenského dění. Díky své pružnosti, vynalézavosti a schopnosti přizpůsobení svých metod a nástrojů, poměrně úspěšně a často vystavují data běžných internetových uživatelů po celém světě zvýšeným bezpečnostním rizikům. V tomto případě pomohla hackerům k rozšíření trojana Octopus zpráva o údajném zákazu oblíbeného messengeru Telegram. Díky němu následně získali vzdálený přístup do počítačů obětí.

Útočníci rozšířili Octopus prostřednictvím archivu, který maskovali jako alternativní verzi Telegramu pro kazašské opoziční strany. Launcher navíc opatřili všeobecně známým symbolem jedné z opozičních politických stran, proto soubor s ukrytým trojským koněm nevzbuzoval na první pohled mnoho pochybností. Po jeho spuštění se hackeři mohli dostat k uživatelským datům, která mohli oklasifikovat, zablokovat, upravit, zkopírovat nebo stáhnout. Získali tak volné pole působnosti ke sledování aktivit uživatelů, ke krádežím citlivých dat nebo získání zadních vrátek do jejich systému. Scénář útoku je do značné míry podobný s kyber-špionážními aktivitami hackerské skupiny Zoo Park – v tomto případě se malware použitý pro APT útoky tvářil jako aplikace Telegramu.

Díky speciálním algoritmům společnosti Kaspersky Lab, které jsou navržené tak, aby rozpoznávaly podobnosti v softwarových kódech, odhalili bezpečnostní odborníci pojítko mezi Octopusem a skupinou DustSquad. Tito ruskojazyční hackeři se zaměřují na kybernetickou špionáž a jejich aktivity byly od roku 2014 odhaleny v řade zemí bývalého Sovětského svazu a Afghánistánu. V průběhu posledních dvou let se podle odborníků zaměřili na kampaně využívající malware zacílený na uživatele OS Android a Windows jak z řad široké veřejnosti, tak z diplomatických kruhů.