Hacking | Malware | Severní Korea

Severokorejští hackeři mají novou zbraň: malware Vyveva slouží ke kradení souborů z počítačů

Severokorejská hackerská skupina Lazarus používá ke svým útokům nový malware s funkcemi backdooru. Dosud nezdokumentovanou škodlivou aplikaci objevili odborníci z bezpečnostní firmy ESET, kteří jí dali jméno Vyveva. Poprvé byla použita při útoku v červnu 2020, nicméně další důkazy naznačují, že mohla být nasazována i při dřívějších útocích – minimálně od prosince 2018.

ESET našel dva počítače infikované tímto malwarem, jež patřily nejmenované jihoafrické firmě, zabývající se logistikou a nákladní přepravou. Analytik Filip Jurčacko uvedl, že kód vykazuje zjevnou podobnost s jinými vzorky škodlivých aplikací, za nimiž stála skupina Lazarus.

Made in Severní Korea

„Tím však podobnosti nekončí: použití falešného protokolu TLS v síťové komunikaci, řetězce příkazů a způsoby použití šifrování a služeb Tor směřují ke skupině Lazarus. Proto můžeme Vyvevu připsat této skupině s vysokou jistotou,“ uvádí Jurčacko.

Cílem malwaru je kybernetická špionáž – jeho operátoři například mohou z infikovaných systémů získávat vybrané soubory, které jsou nahrávány na jejich servery pomocí anonymní sítě Tor. Aplikace používá knihovnu Tor, založenou na oficiálním zdrojovém kódu. Útočníci také mohou využít Vyvevu k doručení a spuštění libovolného škodlivého kódu.

Škodlivá aplikace komunikuje s řídícím serverem jednou za tři minuty. Aby nebylo tak snadné zjistit, s jakým počítačem navazuje spojení, využívá pro tyto účely také síť Tor. Kromě toho používá například nástroje pro sledování nově připojených disků nebo aktivních relací uživatelů – tyto komponenty mohou aktivovat připojení k řídícímu serveru mimo nastavený tříminutový interval.

Tři komponenty, 23 příkazů

Experti zatím objevili tři z mnoha komponent, které Vyveva obsahuje – instalátor, zavaděč („loader“) a zadní vrátka („backdoor“). Instalátor vytvoří a spustí službu a ukládá výchozí konfiguraci backdooru do registru. Zavaděč pak slouží k dešifrování backdooru pomocí jednoduchého algoritmu XOR.

Hlavní komponentou je backdoor, obsahující 23 příkazů – většina z nich jsou běžné příkazy pro operace se soubory a procesy nebo shromažďování informací. Patrně nejnebezpečnější je schopnost filtrovat soubory podle přípon a nahrávat je na server, což lze zneužívat ke krádeži dat. Malware také obsahuje příkaz 0x26, naznačující existenci další neznámé komponenty, kterou odborníci zatím neodhalili.

Odhalení škodlivé aplikace Vyveva představuje další přírůstek do rozsáhlého arzenálu severokorejské hackerské skupiny Lazarus. Útok na logistickou společnost v Jižní Africe také ilustruje její snahu o široké geografické cílení.

Diskuze (9) Další článek: Z kulturáků po miliardové výhry: Jak se vyvinul e-sport a kolik peněz v něm lítá

Témata článku: , , , , , , , , , , , , , , , , , , , , ,