În cadrul evenimentului anual ESET World, pe care de data asta l-am urmărit online, cercetătorii au publicat câteva cazuri interesante. Unul este legat de grupul de spionaj cibernetic Gelsemium. Compania de securitate IT a urmărit evoluția lor începând de la cea mai veche versiune a principalului lor cod malware, Gelsevirine (lansat încă din 2014).
â
Operațiuni doar în Asia și Orient
Cercetătorii ESET au găsit o nouă versiune a Gelsevirine, un backdoor complex și foarte modular. Victimele campaniilor de atac asociate acestuia se află în Asia de Est, precum și în Orientul Mijlociu. Sunt guverne, organizații religioase, producători de electronice și universități, conform prezentării la ESET World. Până în prezent, grupul a reușit să se mențină în cea mai mare parte sub radarul de supraveghere.
Gelsemium este foarte atent direcționat – cu doar câteva victime precise, conform telemetriei ESET. Având în vedere capacitățile sale, acest lucru indică implicarea grupului în spionaj cibernetic. Grupul are un număr mare de componente adaptabile. „Întregul lanț al Gelsemium ar putea părea simplu la prima vedere. Însă numărul de configurații implantate în fiecare etapă poate modifica configurația de atac din mers (pentru payload-ul final), îngreunând înțelegerea”, explică cercetătorul ESET Thomas Dupuy, co-autor al analizei de cercetare Gelsemium.
Gelsemium folosește trei componente și un sistem plug-in pentru a oferi operatorilor săi o gamă largă de posibilități de colectare a informațiilor: dropper-ul Gelsemine, loader-ul Gelsenicine și plugin-ul principal Gelsevirine.
Cercetătorii ESET cred că Gelsemium se află în spatele atacului supply-chain derulat împotriva BigNox, care a fost raportat anterior ca Operațiunea NightScout. Acesta a fost un atac pe “lanțul de aprovizionare” al victimei, raportat de ESET, care a compromis mecanismul de actualizare al NoxPlayer. Era un emulator Android pentru PC-uri și Mac și o parte a gamei de produse BigNox, cu peste 150 de milioane de utilizatori în întreaga lume. Ancheta a descoperit unele suprapuneri între acest atac supply-chain și grupul Gelsemium. Victimele compromise inițial de acel atac supply-chain au fost ulterior compromise de Gelsemine. Dintre diferitele variante examinate, „varianta 2” din acest articol prezintă asemănări cu malware-ul Gelsemium.
