Spoločnosť Eset odhalila v období rokov 2015 až 2019 nové verzie škodlivého softvéru, spájaného s kybernetickou zločineckou skupinou Ke3chang, píše Živé.

Patrí medzi ne aj nová hrozba - Okrum, ktorý patrí ku kategórii backdoorov, identifikovný bol na prelome rokov 2016 a 2017.

Podľa firmy išlo špionáž a zbieranie citlivých informácií diplomatických misií a vládnych inštitúcii v Európe a Latinskej Amerike. Výnimkou nebolo ani Slovensko.



"Prvé podozrivé aktivity zaznamenal Eset v európskych krajinách v roku 2015. „Skupina stojaca za týmito aktivitami mala zrejme značný záujem o Slovensko, čo dokazuje vyšší počet cieľov nachádzajúcich sa na jeho území v porovnaní s inými krajinami,“ popisuje. Dotknuté však boli aj ďalšie krajiny, ako napríklad Chorvátsko alebo Česká republika.," uvádza sa v článku.

Analýzou kódu spoločnosť zistila prepojenie so známymi verziami škodlivého softvéru skupiny Ke3chang. Novú označili Ketrican. Na konci 2016 potom zachytili dovtedy neznámy malvér, ktorý mal na Slovensku rovnaké ciele ako Ketrican. Dostal meno Okrum a aktívny bol počas roka 2017.

„Indície sme začali spájať v momente, keď sme zistili, že Okrum bol použitý na zavedenie novej verzie infiltrácie Ketrican v roku 2017. Navyše sme zistili, že na niektoré ciele boli opakovane mierené viaceré útoky,“ prezradila pre Denník N výskumníčka Zuzana Hromcová.



"Eset tvrdí, že má viacero dôkazov, ktoré Ke3chang spájajú s novou hrozbou Okrum. Spoločným znakom sú napríklad rovnaké metódy – skupina používa technicky jednoduché infiltrácie a na zložitejšie činnosti používajú externé nástroje, čo platí práve aj pre Okrum. Ke3chang pravdepodobne operuje z Číny, dodáva firma," uvdádza sa v článku.

Ako to teda robili? sŚnažili sa ukrývať trójsky kôň v počítači čo najdlhší čas. Autori používajú napríklad metódy steganografie, keď zašifrovaný backdoor vkladajú do PNG obrázku. „Po otvorení tohto súboru sa používateľovi zobrazí nevinne vyzerajúci obrázok, avšak moduly Okrumu v ňom vedia nájsť a spustiť škodlivý kód,“ uviedol na záver pre Živé.

Útočníci tiež zaregistrovali zdanlivo legitímne domény, aby v bežnej komunikácii nakazeného používateľa zakryli aktivitu malvéru. Na Slovensku napríklad napodobňovali slovenský portál s mapami.