TOP

KYBEZ

Spyware útočící na Kurdy odhalen

Nejpozději od března 2020 probíhala na sociálních sítích propracovaná kampaň s cílem dostat do co největšího počtu zařízení patřícím podporovatelům Kurdů špionážní software – spyware. K odhalení této kyberšpionáže pomohla i partnerská společnost KYBEZu, slovenská, antivirová firma ESET. 

 

Nebezpeční členové Facebook skupin 

Nejméně šest profilů na sociální síti Facebooku umístilo do skupin podporujících Kurdy kolem 28 škodlivých příspěvků. Tyto příspěvky se tvářily jako odkazy na novou verzi aplikace Snapchat a požadovaly po uživateli přihlášení do Snapchatu. Nicméně se jednalo o kombinaci phishingu a malwaru. Jakmile uživatelé zadali své údaje, instaloval se do jejich zařízení spyware. Část uživatelů si omylem stáhla škodlivé softwary 888 RAT a část zase SpyNote. 

 

Trojský kůň na scéně 

SpyNote a 888 RAT pracují na podobném principu. Jedná se o “remote access trojan” (RAT), který umožňuje v některých případech zcela ovládnout zařízení oběti. RAT se do zařízení dostane podobně jako běžný malware. Můžete si jej stáhnou z přílohy dokumentu, jako aplikaci ze store nebo webového odkazu či  přetáhnout z datového nosiče. Na první pohled vypadá jako zcela normální aplikace. Jenže ve skutečnosti může krást vaše data a přihlašovací údaje, prohlížet webovou historii, sledovat vás prostřednictvím webkamery, nahrávat si co píšete na klávesnici, zaznamenávat zvukovou stopu z okolí zařízení či všechno dohromady. 

 

Kdo za tím stojí? 

Podle zástupců ESET míří veškeré stopy současné operace proti Kurdům ke kybernetické skupině známé jako BladeHawk, jež stojí i za některými podezřelými aktivitami v komunistické Číně. Od července 2020 do konce června 2021 došlo kolem 1,5 tisíce stažení aplikace.  Malware 888 RAT pro Windows si může každý pořídit na darknetu odhadem za 80$ (v přepočtu 1800 Kč). Verze pro Android a pro Linux pak stojí kolem 200$. BladeHawk si mohl na tuto práci najmout v podstatě kdokoliv. I když vzhledem k povaze mezinárodních vztahů na Blízkém východě se jako hlavní podezřelý nabízí současný vládce Bosporu. Zapojení Turecka do této špionážní akce nemůžeme ani potvrdit ani vyvrátit. Touto akcí se opět potvrzuje, že kyberprostor je součástí zahraniční a bezpečnostní politiky.  

 

Pokud používáte Facebooku a jste členy nějakých skupiny, pak byste měli být ještě více opatrnější. Nikdy nevíte, jaký obsah se ve skutečnost za odkazy dalších uživatelů skrývá. Někdy totiž nemusí jít o sdílení společného zájmu, ale o zisk vašeho soukromí – vašeho já. Obezřetnost je tedy na místě. V případě podezřelých aktivit se na nás neváhejte obrátit. 

 

Zdroje: https://thehackernews.com, https://threatpost.com, https://www.cyberscoop.com, https://www.welivesecurity.com