Венесуэльская армия, главная цель группы киберспорта. Среди похищенных документов есть документы с информацией о расстановке и маршрутах войск.
Мадрид Лаборатория ESETКрупнейшая компания по кибербезопасности в Европейском союзе обнаружила кампанию по кибершпионажу против учреждений высокого уровня в различных странах Латинской Америки. Более половины атакованных групп принадлежат к венесуэльской армии, хотя в состав полиции входят также команды по вопросам образования и иностранных дел. Большая часть этих атак (до трех четвертей) произошла в Венесуэле. Следующей наиболее пострадавшей страной с 16% нападений является Эквадор, где больше всего пострадали военные силы.
Согласно лабораторному анализу ESET, группа, стоящая за этими атаками, называется Machete и в течение нескольких недель крала гигабайты конфиденциальной документации. Кампания все еще активна, с частыми изменениями в вредоносном ПО, его инфраструктуре и фишинговых рассылках. ESET впервые обнаружил деятельность Мачете год назад. Всего за три месяца (с марта по май 2019 года) ESET обнаружил более 50 зараженных компьютеров, которые общались с кибершпионами.
"Мачете операторы используют очень эффективные методы фишинга. Их атаки, нацеленные на различные латиноамериканские страны, позволили им на протяжении многих лет совершенствовать свою тактику: они знают свои цели, как их использовать в повседневной коммуникации и какие документы являются наиболее ценными для их кражи.”, Говорит Матиас Поролли, исследователь в ESET. "Злоумышленники также ищут конкретные файлы, используемые географическими информационными системами (ГИС). На самом деле, они особенно заинтересованы в тех, кто описывает навигационные маршруты и расположение войск и используются в военных сетях.».
Группа Мачете посылает своим жертвам очень конкретные электронные письма, которые меняются в каждой цели. Чтобы избежать подозрений, операторы мачете используют реальные документы, которые они ранее украли (например, радиограммы или секретные военные документы), и правильно обрабатывают военный жаргон для подготовки достоверных фишинговых сообщений. Атака начинается с самораспаковывающегося файла, который содержит ложный документ, и продолжает загружать и устанавливать компоненты с функцией бэкдора (что позволяет злоумышленникам получить удаленный доступ), копировать и шифровать документы, делать снимки экрана и записывать нажатия клавиш на клавиатуре каждые 30 минут. Кроме того, они отправляют всю информацию злоумышленникам каждые десять минут.
"Операции Мачете являются одними из самых опасных, которые мы наблюдали на сегодняшний день, поскольку они способны развиваться очень быстро, даже за несколько недель. Согласно нашим расследованиям и доказательствам, обнаруженным в коде вредоносного ПО, наши подозрения указывают на то, что мы были бы перед испаноязычной группой», Заключает Поролли.
Страны с заболеваемостью мачете в 2019 году
Для получения обновленной и более подробной информации об этой кампании вы можете посетить статью, подготовленную для этой цели, в блог Офицер ESET.
Add comment