< sekcia Ekonomika

Odhalenie sofistikovaného špionážneho softvéru trvalo 5 rokov

Ilustračná snímka. Foto: TASR Michal Svítok

Odhalenie je dielom analytikov firmy Kaspersky Lab, ktorá ho predstavila na bezpečnostnej konferencii v Singapure.

Bratislava 23. apríla (TASR) - Softvér nazvaný TajMahal umožňuje neobvyklú, až unikátnu kybernetickú špionáž. Spyware v podobe adaptovateľného, modulárneho softvéru s mnohými pluginmi, určenými pre konkrétne špionážne úlohy.

Podľa Annamárie Balážovej zo spoločnosti Alison Slovakia strategický význam objavu spočíva v dĺžke pôsobenia špionážneho softvéru bez jeho odhalenia. Odhalenie je dielom analytikov firmy Kaspersky Lab, ktorá ho predstavila na bezpečnostnej konferencii v Singapure. Zároveň upozorňuje na fakt, že tento unikátny balík nástrojov na softvérovú špionáž nenesie poznávacie znaky žiadnej zo známych štátom financovaných hekerských skupín.

Systém dokáže napríklad odchytávať dokumenty, čakajúce v tlačovej fronte, alebo sledovať "záujmové súbory", ktoré automaticky odcudzí vo chvíli, keď sa do infikovaného počítača vloží USB kľúč. TajMahal predstavuje extrémne zriedkavú formu technicky pokročilého a sofistikovaného systému, ktorý obsahuje množstvo zaujímavých prvkov. Veľký súbor modulov indikuje mimoriadnu zložitosť pokročilej pretrvávajúcej hrozby. Práve skratkou APT (Advanced Persistent Threat) sa označuje práca sofistikovaných hekerov, ktorí využívajú dlhodobo neodhalený prístup do sietí svojich obetí.

Ako upozorňuje Balážová, nasadenie špionážneho softvéru hrozí ktorejkoľvek krajine. Každá krajina je niečím výnimočná a zaujímavá, či už politickým postavením, nerastným bohatstvom, výskumom v nejakej oblasti, alebo zdrojmi vody a surovín.

Firma Kaspersky Lab narazila na špionážnu softvérovú platformu TajMahal koncom roka 2018 a k odhaleniu došlo v jedinej prelomenej sieti - na veľvyslanectve nemenovanej stredoázijskej krajiny. TajMahal bol však pravdepodobne nasadený aj inde, keďže je veľmi nepravdepodobné, že by niekto vynaložil takéto úsilie. Spyware firma nazvala TajMahal podľa súboru, ktorým presúva odcudzené dáta mimo napadnutého počítača.

Doteraz známe fakty naznačujú, že prebieha veľmi obozretná a diskrétna operácia na zhromažďovanie spravodajských informácií zrejme pod záštitou niektorého štátu.

Výskumníkov firmy však zaujala najviac multifunkčná časť systému umiestnená na riadiacom serveri. Obsahuje mnoho obvyklých, silných funkcií využívaných štátom podporovanými špiónmi a zároveň má svoje špecifiká. Keď sa do napadnutého PC pripojí USB kľúč alebo disk, systém zosníma jeho obsah a odošle ho na riadiaci server. Tam sa špióni, ktorí stoja za systémom rozhodnú, ktoré súbory odcudzia. Ak bol medzitým USB kľúč odpojený, TajMahal bude automaticky sledovať USB porty a súbor získa hneď, ako sa USB zariadenie znova pripojí do systému.

"V poslednom čase vystupuje do popredia monitoring siete aj s analýzou sieťovej prevádzky. Zber dát v raw formáte a ich následná analýza prinášajú lepšiu viditeľnosť o dianí v sieti. Detailný prehľad a kontrola nad dianím v sieťovej infraštruktúre a detekcia anomálií sú veľmi dobrým zdrojom informácií. Ako vidno, nemusí to však postačovať a je otázne, aká bola úroveň zabezpečenia a monitorovania napadnutej organizácie," uzatvára Balážová.