ESET® tyrėjai nustatė kenkėjišką programą, kuri išvengė saugumo ekspertų dėmesio mažiausiai nuo 2008 m. ESET saugumo sprendimų nustatomas kaip „Win32/Prikormka“, kenkėjas naudojamas vykdyti kibernetinio šnipinėjimo veiksmus prieš antivyriausybinius separatistus Donecko ir Lugansko liaudies respublikose.
„Greta ginkluoto konflikto Rytų Ukrainoje, šalis patyrė daug tikslinių kibernetinių atakų, arba taip vadinamų pažangių nuolatinių grėsmių (angl. advanced persistent threats). Pavyzdžiui, mes nustatėme kelias kampanijas, naudojančias dabar gerai žinomą „BlackEnergy“ kenkėjų šeimą, kuri dalyvavo ir masiniame elektros energijos nutraukime. Bet „Groundbait“ operacijoje naudojamas iki tol buvęs nežinomas kenkėjas“, – teigia ESET vyresnysis kenkėjiškų programų tyrėjas Robert Lipovsky. Užkratas „Groundbait“ operacijoje daugiausiai buvo platinamas siunčiant el. laiškus per patikimus šaltinius (angl. spear-phishing). „Tyrimo metu nustatėme didelį pavyzdžių kiekį, turinčius jiems priskirtus kampanijos ID ir viliojančius failų pavadinimus patraukti aukų dėmesį“, – aiškina ESET kenkėjiškų programų tyrėjas Anton Cherepanov.
Visa šnipinėjimo operacija ESET tyrėjų buvo pavadinta „Groundbait“ vienos konkrečios kampanijos vardu. Kol dauguma kampanijų naudojo temas, susijusias su dabartine Ukrainos geopolitine situacija ir karu Donbase, kad sudomintų aukas atidaryti kenkėjišką prisegtą failą, ši kampanija pateikė žvejyboje naudojamo masalo kainoraštį (Groundbait – liet. masalas žuvims).
„Mes iki šiol negalime paaiškinti, kodėl kenkėjiškam dokumentui buvo pasirinktas toks pavadinimas“, – sako R. Lipovsky.
Kaip įprasta tikslinėms atakoms, gana sudėtinga surinkti įtikinamus įrodymus ir nustatyti šios operacijos autorius. ESET atliekamas tyrimas parodė, kad labiausiai tikėtina, jog atakos organizatoriai veikia pačioje Ukrainoje. Kad ir kas jie būtų, gana akivaizdu, kad šio kibernetinio sekimo veiksmai yra politiškai motyvuoti.
„Tolimesni bandymai priskirti autorystę būtų gana hipotetiniai. Be separatistų tarp šios kampanijos taikinių yra Ukrainos vyriausybės pareigūnai, politikai ir žurnalistai. Tad išties verta apsvarstyti galimybę, kad tai tėra prisidengimas „svetima vėliava“, – teigia R. Lipovsky.
