Amikor valaki meghallja, hogy kiberháború, jó eséllyel Oroszország, Kína, az Egyesült Államok, esetleg Észak-Korea vagy Irán ugrik be neki. Alighanem kevesen gondolnák, hogy Latin-Amerikát épp most is kiberkémek tartják tűz alatt, és hosszú évek óta nagy üzemben szivattyúzzák ki az érzékeny kormányzati adatokat és katonai titkokat. Hogy kik, azt nem tudni, de hogy tudják, mit csinálnak, az biztos – derült ki Matias Nicolas Porolli előadásából.

Az ESET kutatója a kiberbiztonsági cég pozsonyi konferenciáján ismertette a latin-amerikai országokban bevetett kártevő, a Machete utáni nyomozásuk eredményeit. Az áldozatai jellemzően kormányzati és katonai szervezetek. A fő célpont Venezuela, a megfertőzött gépek 75 százaléka innen került ki, de Ecuador (16 százalék), Kolumbia (7 százalék) és Nicaragua (2 százalék) is érintett.

A Machetéről először a Kaspersky írt még 2014-ben, de legalább 2010 óta aktív, és folyamatosan fejlődik, gyakran néhány hét alatt adnak ki hozzá frissítéseket. Nemcsak régóta van használatban, de elég nagy forgalmat is bonyolít: az ESET megfigyelései szerint idén tavasszal több mint 50 számítógép folytatott aktív kommunikációt a hekkerek szerverével, heti több gigabájtnyi adatot szipkázva ki róluk.

A kártevőt spearphising módszerrel terjesztik, azaz olyan adathalász emailekkel, amelyekkel nem vaktába lövöldöznek, hanem kifejezetten személyre szabottan, a gondosan kiválasztott áldozatokhoz igazított tartalommal állítanak csapdát. Az emailek beleolvadnak a rendes napi levelezésbe, a Machete mögött álló hekkerek például gyakran használnak valódi dokumentumokat, amelyeket ellopnak, a céljaiknak megfelelően módosítanak, majd még aznap újra elküldenek, mintha csak ártalmatlan munkahelyi csatolmány volnának.

A Machetét folyamatosan fejlesztik és kiegészítik új funkciókkal. Korábban az emailben csaliként használt fájllal együtt észrevétlenül elinduló program töltötte le magát a backdoort (a kártevőt, amely hátsó ajtót nyit a megfertőzött rendszerbe, bejárást biztosítva a hekkereknek), de az újabb verziókban már maga a kártevő van egybecsomagolva a csalidokumentummal.

Három alapvető komponensból áll:

• Chrome.exe – Ez végzi magát a kémkedést: lemásolja és titkosítja a dokumentumokat, képernyőmentéseket készít, rögzíti a billentyűzet gombnyomásait, adatokat gyűjt, stb.
• Googleupdate.exe – Elküldi a lopott adatokat, illetve fogadja a frissítéseket.
• Googlecrash.exe – Más komponenseket telepít és futtat, biztosítja a folyamatos működést.

A Machete csak bizonyos fájltípusokra utazik: különféle dokumentumokra, képekre, titkosítási kulcsokra, adatbázisfájlokra, biztonsági mentésekre – illetve a hekkerek céljáról leginkább árulkodó fájltípusra: GIS fájlokra, amelyek katonai térképeket és navigációs útvonalakat tartalmaznak.

Az ellopott fájlokat nemcsak továbbítani képes, hanem fizikai kinyerésre is felkészítették: ha a támadó pendrive-jának a csatlakoztatását észleli (illetve a pendrive-on egy bizonyos fájlt), automatikusan kimásolja rá az összegyűjtött adatokat. Ehhez lehet köze, hogy az áldozatok elhelyezkedését is képes pontosan meghatározni a Mozilla Location Service nevű szabadon elérhető szolgáltatás segítségével, amely nem GPS-t, hanem a közeli wifi-hálózatokat használja a beméréshez, de ha elég adat áll rendelkezésre, akár épületre pontosan.

Na de ki áll a Machete mögött?

Jó kérdés.

Állami hátterű hekkerekre utal, hogy

• specializált tudásuk van katonai műveletekről, ismerik a szakzsargont, képesek a valódiakhoz megtévesztően hasonlító szakmai emaileket összeállítani;
• sok éve nagyon aktívak, ami drága, illetve nehéz ilyen hosszú időn keresztül észrevétlennek maradni;
• az ellopott adatok magánszemélyeknek, kiberbűnözőknek nem különösebben értékesek, feketepiacon értékesíteni nehéz ezeket.

Ugyanakkor nem kifejezetten állami hekkereket sejtet, hogy magába az infrastruktúrába keveset fektetnek, ingyenes szolgáltatásokat használnak, a letöltendő kártevőt is ingyenes tárhelyen tárolják, és kicsit hanyagok is, rendszeresen követnek el hibákat.

Ami biztosnak tűnik az ESET nyomozása alapján, hogy spanyol nyelvű csoportról lehet szó, mert a kódjaikban is ez köszön vissza. A Machete fizikai adatkinyerést segítő funkciója is arra utal, hogy a csoporthoz köthető emberek jelen vannak a célországokban. Ennél többet azonban a kutatók sem tudnak róluk, és csak találgatni tudnak, hogy egy ilyen viszonylag egyszerű infrastrukturális hátterű és ilyen egyszerű módszereket alkalmazó csoport hogyan tudja ilyen hatékonyan és hosszú időn át több ország titkait is észrevétlenül ellopni.

Munkatársunk az ESET meghívására és költségén vett részt a rendezvényen. A cikk enélkül nem készülhetett volna el, ugyanakkor teljes egészében szerkesztőségi tartalom, készítésére a cég semmilyen befolyással nem volt.