Criminelen bespioneren waardevolle doelwitten en hun
versleutelde data in Oekraïne, Rusland en Wit-Rusland
ESET®, http://www.eset.com/int/, al meer dan twee decennia wereldwijd pionier in
proactieve bescherming, presenteert operatie Potao Express, een uitgebreide
analyse van dezelfde groep die verantwoordelijk is voor de Win32/Potao malware familie. Een gelijknamig rapport van ESET geeft technische
details, beschrijft de verspreidingsmechanismen en de meest opmerkelijke
aanvallen vanaf de eerste verschijning van de malware, in 2011, tot op heden.
Win32/Potao is spionage malware. Het werd meestal aangetroffen in Oekraïne en
een aantal andere CIS landen waaronder Rusland, Georgië en Wit-Rusland. De
Potao familie is een typische trojan voor cyberspionage die wachtwoorden en
gevoelige informatie steelt om ze nadien aan te bieden aan criminelen voor hun
op afstand bediende servers.
Vergelijkbaar met BlackEnergy, werd Potao gebruikt om de Oekraïnse regering,
de landsverdediging en een vooraanstaande nieuwsdienst te bespioneren. Het werd
ook gebruikt op leden van MMM - een populair financieel piramidespel in Rusland
en Oekraïne. Naast talloze aanvallen is er nog een ander interessant element in
Win32/Potao.
“Met ons onderzoek
naar Win32/Potao kwam een erg interessante connectie aan het licht met de met
een Russische versie van de inmiddels stopgezette populaire open-source
encryptie software TrueCrypt,”zegt Robert Lipovsky, senior malware researcher
bij ESET.
Na verder onderzoek
ontdekten de vorsers van ESET een andere connectie tussen de als trojan
fungerende TrueCrypt en de truecryptrussia.ru website, die niet alleen in specifieke gevallen
besmette versleutelingssoftware leverde maar die ook fungeerde als een commando
en controle (C&C) server voor de achterpoort.
Lees meer
over Operation Potao Express: Analysis of a cyber-espionage toolkit on
WeLiveSecurity.com.