Οι ερευνητές της ESET® έχουν ανακαλύψει ένα κακόβουλο λογισμικό που έχει διαφύγει από την προσοχή των ερευνητών anti-malware τουλάχιστον από το 2008. Ανιχνεύτηκε από την ESET ως Win32/Prikormka, και χρησιμοποιείται για κυβερνο-κατασκοπεία κυρίως εναντίον αντικυβερνητικών αυτονομιστών στις αυτοαποκαλούμενες Λαϊκές Δημοκρατίες του Ντονέτσκ και του Λουχάνσκ.
«Μαζί με την ένοπλη σύρραξη στην ανατολική Ουκρανία, η χώρα αντιμετωπίζει πολλές στοχευμένες κυβερνοεπιθέσεις, ή τις λεγόμενες απειλές τύπου APT (advanced persistent threats). Για παράδειγμα, ανακαλύψαμε πολλές εκστρατείες που χρησιμοποιούν την διαβόητη πλέον οικογένεια κακόβουλου λογισμικού BlackEnergy, στέλεχος της οποίας έχει συντελέσει σε μαζική διακοπή ρεύματος. Αλλά στην Επιχείρηση Groundbait, χρησιμοποιείται άγνωστο malware» σημειώνει Robert Lipovský, ESET Senior Malware Researcher.
Για την εξάπλωση του κακόβουλου λογισμικού στην Επιχείρηση Groundbait χρησιμοποιήθηκαν κυρίως email spear-phishing. «Κατά την έρευνά μας, εντοπίσαμε ένα μεγάλο αριθμό δειγμάτων, το καθένα με καθορισμένο campaign ID και ένα ελκυστικό όνομα αρχείου για να προκαλέσει το ενδιαφέρον του στόχου» εξηγεί ο Anton Cherepanov, Malware Researcher της ESET.
Στην όλη επιχείρηση οι ερευνητές της ESET έδωσαν το όνομα Groundbait, από μία συγκεκριμένη εκστρατεία της. Ενώ οι περισσότερες εκστρατείες που χρησιμοποιούνται, σχετίζονται με την τρέχουσα γεωπολιτική κατάσταση στην Ουκρανία και τον πόλεμο στην Donbass. Για να δελεάσουν τα θύματα να ανοίξουν το κακόβουλο συνημμένο, η συγκεκριμένη εκστρατεία εμφάνισε αντίθετα ένα τιμοκατάλογο με δολώματα για ψάρεμα γνωστά ως «groundbait».
«Την επιλογή αυτού του συγκεκριμένου εγγράφου με δολώματα μέχρι στιγμής δεν είμαστε σε θέση να την εξηγήσουμε» λέει ο Lipovský.
Όπως συνηθίζεται με τις στοχευμένες επιθέσεις, είναι δύσκολη η ανεύρεση της πηγής καθώς είναι δύσκολο να βρεθούν αποδεικτικά στοιχεία. Η έρευνά μας για τις επιθέσεις έχει δείξει ότι οι επιτιθέμενοι πιθανότατα λειτουργούν μέσα από την Ουκρανία. Όποιοι και αν είναι, είναι μάλλον λογικό να υποθέσουμε ότι αυτή η λειτουργία κυβερνο- κατασκοπείας έχει πολιτικά κίνητρα. «Κάθε περαιτέρω προσπάθεια προσδιορισμού στην παρούσα φάση είναι υποθετική. Εκτός από τους αυτονομιστές, οι στόχοι της εκστρατείας περιλαμβάνουν αξιωματούχους της ουκρανικής κυβέρνησης, πολιτικούς και δημοσιογράφους. Θα πρέπει η πιθανότητα να πρόκειται για επιχείρηση τύπου «false flags» καταλήγει ο Robert Lipovský.