Niezidentyfikowani cyberprzestępcy próbowali ostatnio zaatakować wewnętrzne systemy komputerowe indyjskich sił powietrznych (IAF) w celu kradzieży wrażliwych danych, wykorzystując złośliwe oprogramowanie typu open source opracowane przy użyciu języka programowania stworzonego w Google. Jednak siły nie straciły żadnych danych.

W raporcie z siedzibą w USA firma Cyble zajmująca się badaniem zagrożeń cybernetycznych17 stycznia zidentyfikował wariant szkodliwego oprogramowania Go Stealer – który jest publicznie dostępny w serwisie GitHub – którego celem były systemy IAF. Nie jest jasne, kiedy doszło do ataku.

Czytaj więcej

Źródła zaznajomione z rozwojem wydarzeń utrzymywały, że „nie doszło do utraty danych z IAF w wyniku ataku złośliwego oprogramowania”, ponieważ „istnieją wystarczające środki w celu zapewnienia bezpieczeństwa”.

INŻYNIERIA ATAKU ZŁOŚLIWEGO OPROGRAMOWANIA

Wydaje się, że ugrupowania zagrażające chciały wykorzystać zauważalne zainteresowanie personelu IAF w sprawie wielozadaniowych myśliwców Su-30 MKI, z których 12 zostało zamówionych przez rząd Indii we wrześniu ubiegłego roku, do zaprojektowania zdalnie sterowanego ataku trojanów.

Wdrożyli ładunek złośliwego oprogramowania w postaci pliku ZIP zatytułowanego „SU-30_Aircraft_Procurement”, przechowywanego na anonimowej platformie przechowywania danych w chmurze Oshi i rozpowszechnianego za pośrednictwem wiadomości e-mail phishingowych wysyłanych do urzędników Sił Powietrznych.

Kiedy odbiorca pobiera zainfekowany plik ZIP i rozpakowuje go, otrzymuje kilka plików zawierających złośliwe oprogramowanie oraz plik PDF zatytułowany „Próbka” – który działa jak element odwracający uwagę, podczas gdy szkodliwy program jest wykonywany w tle, a poufne dane logowania są wyodrębniane przez platforma komunikacji zespołowej Slack, z której powszechnie korzystają organizacje i firmy.

Sekwencja infekcji obejmuje przejście od pliku ZIP do pliku ISO, po którym następuje plik .lnk, co ostatecznie prowadzi do wdrożenia kradnącego złośliwego oprogramowania. Chociaż format pliku ISO zawiera dokładną kopię dysku optycznego, takiego jak dysk CD, DVD lub Blu-ray, .lnk jest zastrzeżonym plikiem tworzonym zwykle przez system operacyjny Windows w celu tworzenia skrótów zapewniających bezpieczny i szybki dostęp do zapisane pliki.

WZROST NIEWŁAŚCIWEGO UŻYWANIA JĘZYKA GOOGLE

W tym ataku cyberprzestępcy wykorzystali wariant Idź złodzieju aby był skuteczny w przypadku większej liczby przeglądarek internetowych oprócz Firefox i Google Chrome. Na Githubie twórcy szkodliwego oprogramowania opisują je jako „kradzież plików cookie i loginów dla przeglądarek Firefox + Chrome”. Go Stealer opiera się na języku programowania Google Go o otwartym kodzie źródłowym, popularnie znanym również jako Golang, który jest coraz częściej wykorzystywany przez złe podmioty do cyberataków.

Według amerykańskiej firmy technologicznej F5 szkodliwe oprogramowanie oparte na Golang zostało po raz pierwszy wykryte w połowie 2018 r. i od tego czasu jest coraz częściej wykorzystywane przez cyberprzestępców.

W styczniu ubiegłego roku Cyble wykrył kolejne szkodliwe oprogramowanie oparte na Golangu, zatytułowane „Titan Stealer”, które było przedmiotem poradnictwo internetowe rządu Filipin.

„Szkodliwe oprogramowanie kradnące informacje Golang może być bardzo niebezpieczne, ponieważ może wydobyć poufne i ważne informacje z zainfekowanego systemu, powodując szkody finansowe. Ponadto osoba atakująca może wykorzystać skradzione dane uwierzytelniające do kradzieży tożsamości i zaatakowania innych ofiar. Takie naruszenia mogą mieć poważne konsekwencje, zwłaszcza jeśli informacje organizacji zostaną naruszone” – czytamy w poradniku wydanym przez Grupę ds. Przeciwdziałania Cyberprzestępczości filipińskiej policji.