Ruským firmám se někdo mstí, nestačí se bránit. Hackeři jim ve velkém vykrádají údaje pod falešnou záminkou
Lukáš Altman
Lukáše psaní naplňovalo už od dětství, že se tím bude živit si uvědomil ještě jako student v roce 2013. V tu dobu už si několika dílčími texty začal přivydělávat. Jeho profesionální kariéra začala o tři roky později, kdy se stal externím redaktorem pro portál Alza.cz. Od té doby spolupracoval s řadou firem různých rozsahů a dokonce založil několik vlastních projektů, včetně Mobify.cz, který časem přešel pod společnost abcMedia Network. Nyní se Lukáš řadí mezi nejvlivnější české redaktory v oblasti elektroniky.
E-maily se smlouvami a přílohami odstartovaly v Rusku nemalou špionážní kampaň. Firmy často ani nepostřehly, že byly napadeny. Dokud jejich data neskončila na cizích serverech.
Ruské společnosti už dlouho bojují s kybernetickými útoky, které se schovávají za běžnou obchodní komunikaci. Dle zjištění redakce Mobify se útočníci vydávají za firemní partnery a posílají e-maily s údajnou žádostí o podpis smlouvy. Chtějí ale jediné – infikovat počítače neznámým spywarem a ukrást interní dokumenty.
Oběť si sama nechtěně stáhne spyware do PC
Základem celé kampaně je doposud málo známý spyware pro Windows, nazvaný Batavia. Poprvé se objevil v létě roku 2024, ale je aktivní dodnes. Šíří se přes podvodné e-maily, které vypadají jako normální komunikace firmy, jen odesílatelé používají vlastní, oficiálně vypadající domény. Odkazy ve zprávě vedou ke stažení archivu s jediným souborem – skriptem, který má údajně otevřít smlouvu.
Ve skutečnosti tím uživatel, který v tu chvíli netuší vůbec nic, spustí první fázi infekce. Skript si nejprve zmapuje počítač (verzi systému, nastavení, připojená zařízení) a tyto informace odešle útočníkům. Následně stáhne ještě další program, který se už stará o samotnou špionáž, jak popisuje theHackerNews.
Redakce Mobify se domnívá, že může jít o využívání vrtkavé situace způsobené válkou proti Ukrajině, kdy se ruské firmy soustředí na úplně jiné úkony, a mohou tak polevovat v ostražitosti, event. to může být zcela cílený útok jako pomsta.
Útok spywaru, běžícího na pozadí, má 3 fáze
Spyware Batavia pracuje ve vícero krocích. Ve druhé fázi zobrazí oběti falešný dokument, aby nepojala nějaké podezření, zatímco na pozadí začne sbírat soubory. Zaměřuje se hlavně na kancelářské dokumenty, tabulky, PDF soubory a také snímky obrazovky. Nevyhýbá se ani datům na připojených USB flashkách, uvádí SecureList.
Třetí fáze má pak za úkol celý proces rozšířit. Malware krom zmíněného začne sbírat i e-maily, prezentace, archivy nebo obrázky a pravidelně je odesílat na vzdálené servery. Útočníci si navíc nechávají prostor pro případné další rozšíření útoku, takže infikovaný počítač může být zneužívaný, dokud si oběť něčeho nevšimne a dokud útočníci chtějí.
Kdo je cílem a proč právě teď?
Podle dostupných údajů bylo osloveno nejméně 100 zaměstnanců z několika desítek ruských organizací, především z průmyslového sektoru. Běžní uživatelé se tak snad nemusí bát, jedná se evidentně o cílenou špionáž. Domníváme se, že motivací útočníků není ani tak rychlý zisk, ale shromažďování citlivých informací, které mohou dál využít.
Vedle Batavie se však objevují i další podobné kampaně, které kradou data z prohlížečů nebo firemních profilů. Aby byly firmy v bezpečí, měly by podnikat preventivní kroky. Ideální je dvoufázové ověřování a zaměstnanci by měli být pravidelně školeni, aby rozpoznali podezřelé e-maily. Důležité je také sledovat neobvyklou síťovou komunikaci a chování programů na počítačích.
Zdroje
Autorský komentář Lukáše Altmana, Oficiální stránky theHackerNews, Oficiální stránky SecureList