Эксперты компании ESET рассказали об атаках кибершпионской группировки Machete, нацеленных на госструктуры Латинской Америки. Основной целью хакеров является кибершпионаж, причем особое внимание уделяется поиску данных о дислокации военных объектов.
Группировка Machete известна ИБ-специалистам и ведет деятельность как минимум с 2010 года. Но если раньше группа атаковала самые разные цели по всему миру, то в 2019 году хакеры преимущественно сконцентрировали свои усилия на Венесуэле.
Так, в период с марта по май 2019 года эксперты ESET обнаружили как минимум 50 зараженных компьютеров, связывавшихся с управляющими серверам Machete. Около 75% этих компрометаций были замечены в Венесуэле, и более половины зараженных машин принадлежали венесуэльским военным, хотя также под удар попали и другие госучреждения, включая полицейские и образовательные структуры.
Способ заражения выглядит следующим образом: потенциальная жертва получает письмо со ссылкой или вложенным документом. При этом рассылка вредоносных сообщений носит точечный характер — письма получает ограниченное число лиц.
В качестве приманки выступают документы, хорошо известные в армейских кругах, например, радиограммы. Кроме того, злоумышленники активно используют профессиональный сленг, что окончательно заставляет получателей фишингового письма поверить в обман.
Если «наживка» сработала, происходит запуск самораспаковывающегося файла и установка бэкдор-компонентов. Один из них представляет собой шпионский модуль, который копирует и шифрует документы, делает снимки экрана, определяет геолокацию, скачивает историю браузера и перехватывает введенный с клавиатуры текст. Каждые десять минут украденные данные передаются на управляющий сервер атакующих.
«Атакующие извлекают определенные типы файлов, используемые геоинформационными системами (ГИС). Особенно группировку интересуют файлы, описывающие навигационные маршруты и позиционирование с использованием координатной сети», — пишут исследователи.
По данным ESET, в настоящее время Machete использует новую версию своего набора вредоносных инструментов, отличную от того, что описывали аналитики «Лаборатории Касперского» и Cylance в 2014 и 2017 годах.
В ходе изучения набора инструментов группы исследователи пришли к выводу, что группировка является испаноговорящей: исходные коды содержат ряд терминов на испанском языке. К таким же выводам ранее приходили и эксперты других ИБ-компаний. При этом специалисты ESET отмечают, что до сих пор нельзя сказать наверняка, является ли Machete спонсируемой государством группой, или же это независимые хакеры, попросту продающие похищенную информацию.