Hackerská skupina Wild Neutron (známá také jako Jripbot nebo Morpho), která v roce 2013 útočila na řadu významných technologických firem jako Microsoft, Apple či Facebook, zahájila novou vlnu útoků. Informace zveřejnil Kaspersky Lab.
Kybernetičtí zločinci o sobě dali vědět po téměř roční pauze. Ke svým aktuálním činům využívají odcizený bezpečnostní certifikát, dosud neznámou zranitelnost v programu Flash Player, vlastní upravený malware a nástroje pro Windows a Mac OS X.
Výzkumníci považují za původní zdroj nákazy infikované internetové stránky. Hackeři označili škodlivý kód platným bezpečnostním certifikátem, díky čemuž se vyhnul detekci ze strany bezpečnostních řešení. Certifikát zřejmě ukradli známému výrobci elektroniky Acer, v současnosti je již jeho platnost zrušena.
Odcizený certifikát umožnil bezproblémově spustit škodlivý kód (zdroj: Kaspersky Lab)
Infiltrace umožnila nainstalovat do počítače zadní vrátka (backdoor), která připomínala aplikace na vzdálenou kontrolu počítače. Kaspersky Lab zdůraznil vysokou snahu útočníků utajit adresu řídicího serveru a schopnost konsolidace po jeho vypnutí. Zkoumaný kód zároveň obsahoval prvky na ochranu infrastruktury před jakýmkoli vypnutím serverů.
Různorodé oběti vylučují ze hry vlády
Hlavním motivem útoků se stala obchodní a ekonomická data. Oběti pocházejí z celého světa, včetně Spojených států, Ruska, ale i Slovinska. Na seznamu najdeme společnosti zabývající se virtuální měnou Bitcoin, firmy z oblasti zdravotnictví, nemovitostí či investic. Zajímavostí však je, že se mezi cíli objevily také džihádistická fóra.
Identifikované oběti pocházeli z 11 států a oblastí (zdroj: Kaspersky Lab)
"Zaměření skupiny naznačuje flexibilní, ale zároveň neobvyklou povahu a zájmy," míní šéf týmu analýz Costin Raiu. Odborníci se proto domnívají, že v pozadí nestojí některý ze států. V některých vzorcích našli rumunský řetězec "La revedere" ("nashledanou") a "uspeshno" (přepis ruského slova "úspěšně").
"Použití zero-day zranitelností, multiplatformového malwaru a jiných pokročilých technik poukazuje na silného hráče zapojeného do špionáže s pravděpodobným ekonomickým motivem," uvádí dále Kaspersky Lab v tiskové zprávě.
Specialisti Kaspersky Lab o odhalování kyberkriminality:
Skupina Wild Neutron začala působit v roce 2011. Do pozornosti se dostala až na začátku roku 2013. Útoky prostřednictvím zranitelností softwaru Java byly na denním pořádku. Následně se skupina stáhla na určitý čas do pozadí, nebo její aktivity nebyly odhaleny.
