Компанията, предлагаща услуги и продукти в областта на информационната и интернет сигурност
ESET разкри информация за
APT (advanced persistent threat)
група, атакувала високопрофилни цели в
Русия, Украйна, Армения и
Грузия. Операция
Potao Express (кръстена по името на малуера, дадено му от ESET) действа поне от четири години, а сред целите й присъстват представители на украинското правителство и армия, руската финансова пирамида "МММ" (наречена от
Finfact "
най-голямата финансова пирамида, съществувала някога на територията на СССР и Руската федерация") и други.Любопитното е, че макар и неособено сложен, зловредният софтуер, с който групата е атакувала целите си, не е открит в продължение на пет години. Другото любопитно за атаките е, че групата е използвала
троянизирана версия на софтуера за цялостно дисково криптиране
TrueCrypt. Въпросната версия е разположена на ресурс с адрес truecryptrussia.ru, който към дадения момент все още е активен.Освен това,
Potao може да се
разпространява посредством USB стикове и да бъде прикриван като
Word и Excel файлове.
По отношение на троянизираната версия на
TrueCrypt, интересното е, че не всички са получавали
бекдор варианта на софтуера, а само
определени адреси, посещаващи сайта, като контролният сървър на
TrueCrypt Русия е използван и от малуера.
Роберт Липовски и
Антон Черепанов от
ESET, които са автори на публикацията в блога на компанията, разкриваща новината за
кибершпионската операция, съобщават, че освен, че подправената версия на програмата добавя към системата
Potao, то тя е извънредно
опасен бекдор. Potao Express са активни и към настоящия момент.Освен публикуването на подробен анализ на операцията (
pdf), ESET
предоставят IOC (Indicators of Compromise) пакет, насочени към разработчици по информационна сигурност.
