Εγκληματίες κατασκόπευαν στόχους υψηλής σημασίας και τα κρυπτογραφημένα δεδομένα τους σε Ουκρανία, Ρωσία και Λευκορωσία. Η ομάδα της ΕSET ξεσκέπασε την επιχείρηση Potao Express.
Η ESET παρουσιάζει την Επιχείρηση Potao Express, μία εκτεταμένη ανάλυση της ομάδας κυβερνοκατασκοπείας που βρίσκεται πίσω από την οικογένεια κακόβουλου λογισμικού Win32/Potao. Σε έκθεση της ESET με το ίδιο όνομα καταγράφονται όλες οι τεχνικές λεπτομέρειες και περιγράφονται οι μηχανισμοί εξάπλωσης και οι πιο αξιοσημείωτες εκστρατείες επίθεσης από τη στιγμή που πρωτοεμφανίστηκε το malware το 2011, μέχρι και σήμερα.
Το Win32/Potao είναι ένα παράδειγμα κακόβουλου λογισμικού κατασκοπείας. Ανιχνεύθηκε κυρίως στην Ουκρανία και σε κάποιες άλλες χώρες της ΚΑΚ, μεταξύ των οποίων η Ρωσία, η Γεωργία και η Λευκορωσία. Η οικογένεια Potao αποτελεί ένα τυπικό Trojan κυβερνοκατασκοπείας που κλέβει κωδικούς και ευαίσθητα δεδομένα, στέλνοντας τα στον απομακρυσμένο server που έχει ξεκινήσει την επίθεση.
Παρόμοια με το BlackEnergy, το Potao χρησιμοποιήθηκε για να κατασκοπεύσει την Ουκρανική κυβέρνηση, στρατιωτικές οντότητες και ένα ουκρανικό πρακτορείο ειδήσεων. Χρησιμοποιήθηκε επίσης για να κατασκοπεύσει μέλη της MMM, μίας δημοφιλούς οικονομικής πυραμίδας στη Ρωσία και την Ουκρανία. Πέρα από την ποικιλία των εκστρατειών επίθεσης, υπάρχει άλλο ένα ενδιαφέρον στοιχείο σχετικά με το Win32/Potao.
«Η έρευνά μας σχετικά με το Potao αποκάλυψε μια πολύ ενδιαφέρουσα σύνδεση με μια ρωσική έκδοση του δημοφιλούς λογισμικού κρυπτογράφησης ανοικτού κώδικα TrueCrypt, που πλέον δεν λειτουργεί» αναφέρει ο Robert Lipovsky, Senior Malware Researcher στην ESET.
Συνεχίζοντας την αναζήτηση, οι ερευνητές της ESET ανακάλυψαν και άλλη σύνδεση μεταξύ της τροποποιημένης έκδοσης του TrueCrypt σε Trojan και του ιστότοπου truecryptrussia.ru, το οποίο, εκτός από φορέας μολυσμένου λογισμικού κρυπτογράφησης, βρέθηκε ότι ενεργούσε και ως command and control (C&C) server για το backdoor.
