Kibernetička špijunska skupina krala je datoteke od venezuelanske vojske

  • Oct 31, 2023

Nije jasno je li grupu Machete sponzorirala država ili je slobodnjak koji prodaje podatke onome tko ponudi najviše.

Machete APT
Slika: ESET

Vidi al

  • 10 opasnih ranjivosti aplikacija na koje treba pripaziti (besplatni PDF)

Skupina za kibernetičku špijunažu poznata kao "Machete" primijećena je kako krade osjetljive datoteke od venezuelanske vojske, navodi se u izvješću ESET-a objavljenom danas.

Grupa, za koju se zna da je aktivna od 2010., povijesno je išla za širokim rasponom meta iz cijelog svijeta. Međutim, ESET je rekao da je od ove godine Machete svoje hakerske napore prvenstveno usmjerio na Venezuelu.

Tijekom razdoblja između ožujka i svibnja 2019., ESET je rekao da je vidio najmanje 50 zaraženih računala kako kontaktiraju Machete servere za naredbu i kontrolu (C&C).

Oko 75% ovih infekcija nalazilo se u Venezueli, a više od polovice zaraženih računala pripadalo je venezuelanskoj vojsci.

"Napadači eksfiltriraju specijalizirane vrste datoteka koje koristi softver geografskih informacijskih sustava (GIS)," rekao je sigurnosni istraživač ESET-a Matias Porolli. "Grupa je posebno zainteresirana za datoteke koje opisuju navigacijske rute i pozicioniranje pomoću vojnih mreža."

Osim Venezuele, grupa Machete ciljala je i na susjedne zemlje. ESET je rekao da je ekvadorska vojska također bila meta.

Spear phishing s radiogramima

Taktika grupe nije ni toliko originalna. Oslanjaju se na staru taktiku slanja phishing e-pošte sa zlonamjernim datotekama kao privicima.

Sve grupe za kibernetičku špijunažu djeluju na ovaj način. Jedina novost ovdje, prema ESET-u, je to što Machete koristi stvarne dokumente koji su ukradeni iz prethodnih napada.

Grupa voli koristiti radiograme (radiografije), koji su specifični dokumenti koji se koriste za komunikaciju unutar vojski diljem svijeta.

Dokumenti će, kada se otvore, zaraziti žrtve zlonamjernim softverom grupe, backdoor trojancem. Prema ESET-u, grupa je više od godinu dana koristila novu verziju svog zlonamjernog softvera, različitu od prethodne viđene u prethodnim napadima, kao što je dokumentirao Kaspersky i Cylance u 2014. odnosno 2017. godini.

"Zlonamjerni softver koji je opisao Kaspersky ima mnogo sličnosti s onim što smo vidjeli ove godine", rekao je glasnogovornik ESET-a ZDNet u e-poruci prošli tjedan. "Zlonamjerni softver koji opisujemo u našem radu je nova verzija i prilično smo sigurni da ovdje ne govorimo o kopirateljima - to je doista ista skupina."

"Prethodne verzije Machetea imale su slične mogućnosti za krađu informacija i sličnu infrastrukturu, ali razlike u načinu na koji je zlonamjerni softver isporučen, u kodu i također u ciljevima. Čini se da prethodne verzije Machetea nisu bile tako ciljane u Latinskoj Americi kao sada", dodali su.

Slika: ESET

ESET-ovi istraživači rekli su da je Macheteova nedavna kampanja još uvijek aktivna do danas, a hakeri su bili vrlo uspješni, izvlačeći gigabajte povjerljivih datoteka svaki tjedan.

Nije poznato je li Machete APT kojeg sponzorira država

No dok je grupa ostavila trag hakiranja diljem svijeta od 2010. godine, istraživači sada nisu ništa bliže identificiranju tko stoji iza grupe Machete.

Kaspersky je 2014. rekao da se čini da su članovi Machete osobe koje govore španjolski.

"Atribucija se temelji na onome što zapravo možemo promatrati", rekao je tim ESET-a ZDNet. "Nekoliko nagovještaja i artefakata koje smo vidjeli tijekom naše istrage navodi nas na potporu tvrdnje da se radi o grupi koja govori španjolski, kao što su rekli drugi istraživači u prošlosti."

Ali hakerske skupine nacionalnih država koje govore španjolski nisu viđene prije. Većina je usredotočena na kibernetički kriminal.

"Nažalost, ne možemo znati jesu li oni grupa koju sponzorira država ili su neovisna grupa koja prodaje informacije onome tko ponudi najviše", rekli su nam iz ESET-a.

Najpoznatiji i najopasniji APT (državno razvijen) malware na svijetu

Povezani zlonamjerni softver i kibernetički kriminal:

  • Guverner Louisiane proglašava izvanredno stanje nakon lokalne epidemije ransomwarea
  • Razvoj se zaustavlja na Empire okviru nakon što projekt postigne svoj cilj
  • Upozorenje o velikoj provali kartice u Južnoj Koreji
  • Novi zlonamjerni softver za Windows postavlja proxy na vašem računalu za prijenos zlonamjernog prometa
  • GermanWiper ransomware snažno pogađa Njemačku, uništava datoteke, traži otkupninu
  • Projekt No More Ransom spriječio je zaradu od ransomwarea od najmanje 108 milijuna dolara
  • Zlonamjerni softver ostaje u malim i srednjim poduzećima u prosjeku 800 dana prije otkrivanjaTechRepublic
  • Američki gradonačelnici odlučili su da neće plaćati hakerima za napade ransomwareaCNET