ESET doet een boekje open over operatie Potao Express

Criminelen bespioneren belangrijke overheidsinstellingen en persdienst in de Oekraïne, Rusland en Wit-Rusland

Sliedrecht, 30 juli 2015ESET heeft een uitgebreide analyse gemaakt van de wijze waarop de cyberspionagegroep achter de malwarefamilie Win32/Potao te werk is gegaan. De Potao-familie is een typische cyberspionage-trojan, die wachtwoorden en gevoelige informatie steelt om ze vervolgens aan te bieden aan de aanvaller. De cyberspionnen gebruikten de malware met name voor het stelen van data van overheidsinstellingen in Oekraïne, Rusland en Wit-Rusland en een persdienst in Oekraïne.

Social engineering

Win32/Potao is dan ook een voorbeeld van spionagemalware en actief sinds 2011. De laatste twee jaar werd deze malware steeds vaker gesignaleerd. Opvallend was dat de spionnen geen misbruik hoefden te maken van softwarelekken of gaten in de beveiliging. Ze pasten met name social engineering toe, een methode die uitgaat van het manipuleren van mensen.

Gerichte aanvallen

De aanvallen met de malware waren beslist niet willekeurig. Net als BlackEnergy, is Potao gebruikt om Oekraïense overheidsinstellingen, militaire doelen en een grote persdienst te bespioneren. Ook leden van MMM, een financieel piramidespel, dat populair is in Rusland en de Oekraïne, zijn zo in de gaten gehouden.

Encyrptiesoftware als infectiehaard

Uit de analyse blijkt dat er een relatie is met een Russische versie van TrueCrypt en de truecryptrussia.ru website. Deze website leverde niet alleen geïnfecteerde encryptie software, maar trad in sommige gevallen ook op als een command and control (C&C) server voor de backdoor. Dat is opvallend, wat TrueCrypt is een bekende, veelgebruikte oplossing voor het versleutelen van data.

In het ESET blog en de whitepaper ‘Operation Potao Express’ worden de technische details en verspreidingsmechanismen van deze malware-variant uitgebreid beschreven.

Over ESET
Sinds 1987 ontwikkelt ESET bekroonde beveiligingssoftware die meer dan 100 miljoen gebruikers helpt om technologie veiliger te gebruiken. Het brede portfolio van beveiligingsproducten is geschikt voor alle populaire platformen en biedt bedrijven en consumenten over de gehele wereld de perfecte balans tussen prestaties en proactieve bescherming. Het wereldwijde verkoopnetwerk beslaat 180 landen, met regionale kantoren in Bratislava, San Diego, Singapore en Buenos Aires. Meer informatie is te vinden op www.eset.nl of volg ons op LinkedIn, Facebook en Twitter.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: