Miroslav Dvořák

Ředitel odboru Správa informační bezpečnosti společnosti GORDIC

XDSpy klasifikujeme jako APT skupinu, tedy zločince, kteří se zaměřují na tvorbu pokročilých trvalých hrozeb. V praxi tyto skupiny stojí za kybernetickými útoky, jejichž cílem je dlouhodobě infiltrovat cílový systém a vytěžit strategické, utajované nebo neveřejné informace.

Podobné útoky jsou nebezpečné právě kvůli tomu, jak pečlivě jsou připravované a jak pokročilé a adaptivní techniky využívají. APT skupiny se typicky zaměřují na státní úřady či jinak strategicky významné cíle.

Při analýze této hrozby jsme nenarazili na žádné části kódu, které by se podobali jiným rodinám malware ani jsme nezaznamenali žádné prvky síťové infrastruktury, které by skupina, kterou označujeme jako XDSpy sdílela s jinou APT skupinou. Proto usuzujeme, že je XDSpy je zcela nová dosud neznámá skupina útočníků.

Tento škodlivý kód představuje v souvislosti s kryptoměnami trojitou hrozbu. Zneužívá zdroje oběti na těžbu kryptoměn ve prospěch útočníka, pokouší se přesměrovat finanční transakce změnou adresy kryptopeněženky během kopírování tohoto textu a také se pokouší krást soubory související s kryptoměnami, hesly a bankami.

To vše s využitím různých technik, které škodlivému kódu pomáhají skrývat se před odhalením. KryptoCibule ve své komunikační infrastruktuře využívá síť Tor a také BitTorrent protokol.

IT oddělení firem byla ze dne na den postavena před problém, jak to celé v co nejkratším čase zařídit. Někteří si bohužel vybrali rychlá a snadná řešení, která ovšem vystavila jejich IT infrastrukturu, zaměstnance, a i jejich zákazníky vysokému riziku kompromitace kyberzločinci.

S narůstajícím trendem práce na dálku a také možností pracovat na vlastním zařízení, budou podniky nuceny více řešit zabezpečení svých sítí a všech připojených zařízení, včetně těch, nad kterými má firma jen omezenou kontrolu.

Ani jeden z těchto přístupů nelze zcela doporučit - osobní informaci se dají uhodnout, pokud vás útočník zná, náhodné kombinace písmen se špatně pamatují a přepisují. Lepší je využívat jednoduché věty, což dělá zatím jen desetina uživatelů. Pokud Češi v hesle použijí nějaký osobní údaj, jde nejčastěji o datum narození samotného uživatele nebo někoho blízkého. Pětina lidí pak zadá jméno člena rodiny, desetina lidí pak zadá jméno domácího mazlíčka nebo název filmu, knihy či písně.

Názvy či úryvky z uměleckých děl jsou součástí takzvaných slovníkových útoků, při nichž útočník pomoc algoritmu zkouší prolomit zabezpečení pomocí slovníku hesel - a ten se dá zakoupit na černém trhu.

V posledních dnech jsme zaznamenali hned několik e-mailových kampaní, které s tématem nemoci pracují. Většina ze zachycených e-mailů koluje v zahraničí, nicméně registrujeme i první případy takových podvodných e-mailů i tzv. hoaxů v České republice. Spam obsahoval přílohu s názvem CoVid19_BAH.PDF.exe, po jejímž spuštění si uživatel do počítače nainstaloval škodlivý kód detekovaný jako Fareit.

Jedná se o trojského koně, který dlouhodobě patří mezi nejvážnější kybernetické hrozby v Česku. Tento trojský kůň je schopen pro útočníky získat hesla obětí uložená v internetových prohlížečích.