Eset odhalil špionážní skupinu Gelsemium, cílila na vládní instituce v Asii

Eset odhalil špionážní skupinu Gelsemium, cílila na vládní instituce v Asii

Eset odhalil špionážní skupinu Gelsemium, cílila na vládní instituce v Asii.

MALL Group šla v roce 2020 do zisku, obrat činil 21 miliard
České Radiokomunikace mění majitele. Odkupují je fondy Cordiant
Co říkají odborníci na vládní zakázku za půl milionu na TikToku? Velké pochybnosti!
PriceHubble kupuje český proptech startup Realtify za desítky milionů

Analytici Eset analyzovali přibližně od poloviny minulého roku několik kybernetických operací, za nimiž, jak se později ukázalo, stála kybernetická špionážní skupina Gelsemium.

Eset také vystopoval nejstarší verzi jejího hlavního malwaru Gelsevirine až do roku 2014.

Během analýz objevili výzkumníci novou verzi škodlivého kódu Gelsevirine. Jde o komplexní a zároveň modulární backdoor. Oběti útoků se nacházejí ve východní Asii a na Středním východě a patří mezi ně vládní instituce, náboženské organizace, výrobci elektroniky a univerzity. Špionážní skupině se ve většině případů dařilo konat nepozorovaně.

Cíle skupiny Gelsemium zobrazené na mapě

Obsah obrázku mapa

Popis byl vytvořen automaticky

Podle telemetrických dat ESETu skupina Gelsemium cílí své útoky velmi přesně na konkrétně vybrané oběti. Vzhledem ke schopnostem této skupiny to nasvědčuje, že Gelsemium je zapojena do kybernetické špionáže. Skupina má k dispozici obrovské množství adaptabilních komponent pro svůj backdoor.

„Backdoor Gelsemium se může na první pohled zdát jako jednoduchý malware, ale velký počet volitelných konfigurací každé z komponent umožňuje měnit nastavení finálního malware v každé fázi napadení, což znesnadňuje jeho odhalení a pochopení,“ vysvětluje Thomas Dupuy, výzkumník společnosti Eset a spoluautor analýzy zaměřené na Gelsemium.

Gelsemium využívá systém pluginů a tři komponenty: instalační komponentu Gelsemine, loader Gelsenicine a hlavní plugin Gelsevirine. Toto schéma dává útočníkům širokou škálu možností při sběru informací.

Tým společnosti Eset se domnívá, že skupina Gelsemium stojí i za operací NightScout, útokem na dodavatelský řetězec pro hráče v Asii z února letošního roku. Kybernetičtí zločinci v tomto případě zacílili útok na aktualizace herního emulátoru NoxPlayer, který umožňuje spustit mobilní hru na počítači. Tuto oblíbenou aplikaci vývojářské firmy BigNox používá více než 150 milionů lidí po celém světě. Výzkum odhalil spojitost mezi útokem na dodavatelský řetězec a skupinou Gelsemium. Oběti, které byly původně zasažené útokem na dodavatelský řetězec se později stali i terčem skupiny Gelsemine.

KOMENTÁŘE

WORDPRESS: 0
DISKUZE 0