Společnost Cisco rozkryla další hackerský útok na Ukrajinu, za kterým velmi pravděpodobně stojí útočníci financovaní a řízení Ruskem. Nebezpečí umocňuje fakt, že útok cílí na velkou softwarovou firmu, která je dodavatelem ukrajinských vládních organizací.
Experti z Cisco Talos odhalili malware namířený proti významné softwarové společnosti, jejíž produkty používají ukrajinské státní instituce. A prohlásili, že se pravděpodobně jedná o útok hackerů sponzorovaných ruským státem. Cisco Talos soudí, že konečným cílem hackerské kampaně mohlo být napadení dodavatelského řetězce. Tak se označují napadení, kdy se útočníkovi podaří propašovat škodlivý kód do hardwaru nebo softwaru (jako v tomto případě) důvěryhodného IT dodavatele. Malware se potom může šířit například tak, že v organizaci, která daný software využívá, proběhne rutinní aktualizace a s ní se do sítě dostane i podvržený škodlivý kód.
Vzhledem k tomu, že některé aplikace mají například stovky tisíc uživatelů, je pak nebezpečí plynoucí z napadení dodavatelského řetězce skutečně velké. Cisco Talos však zároveň uvedla, že zatím nemá náznaky, že by k propašování kódu do dodavatelského řetězce reálně došlo.
Škodlivý software, který odhalili experti Cisco Talos, se poprvé objevil v květnu, představuje specializovanou verzí backdooru GoMet a je určen k udržení trvalého vzdáleného přístupu do sítě. Útočníkovi dovoluje například nahrávat a stahovat soubory, spouštět příkazy a používat zařízení jako oporu k šíření do dalších sítí a systémů. Škodlivý implantát přitom obsahuje tzv. cron, funkci, která se spouští každé dvě sekundy a kontroluje, zda je malware propojen s řídicím serverem. Konkrétně se škodlivá aktivita projevovala jako falešně naplánované úlohy aktualizace Windows.