ESET odhalil špionážní skupinu Gelsemium, cílila na vládní instituce v Asii

Praha, 16. července 2021 – Výzkumníci společnosti ESET analyzovali přibližně od poloviny minulého roku několik kybernetických operací, za nimiž, jak se později ukázalo, stála kybernetická špionážní skupina Gelsemium. ESET také vystopoval nejstarší verzi jejího hlavního malwaru Gelsevirine až do roku 2014.

Během analýz objevili výzkumníci společnosti ESET novou verzi škodlivého kódu Gelsevirine. Jde o komplexní a zároveň modulární backdoor. Oběti útoků se nacházejí ve východní Asii a na Středním východě a patří mezi ně vládní instituce, náboženské organizace, výrobci elektroniky a univerzity. Špionážní skupině se ve většině případů dařilo konat nepozorovaně.

Podle telemetrických dat ESETu skupina Gelsemium cílí své útoky velmi přesně na konkrétně vybrané oběti. Vzhledem ke schopnostem této skupiny to nasvědčuje, že Gelsemium je zapojena do kybernetické špionáže. Skupina má k dispozici obrovské množství adaptabilních komponent pro svůj backdoor.

„Backdoor Gelsemium se může na první pohled zdát jako jednoduchý malware, ale velký počet volitelných konfigurací každé z komponent umožňuje měnit nastavení finálního malware v každé fázi napadení, což znesnadňuje jeho odhalení a pochopení,“ vysvětluje Thomas Dupuy, výzkumník společnosti ESET a spoluautor analýzy zaměřené na Gelsemium.

Gelsemium využívá systém pluginů a tři komponenty: instalační komponentu Gelsemine, loader Gelsenicine a hlavní plugin Gelsevirine. Toto schéma dává útočníkům širokou škálu možností při sběru informací.

Tým společnosti ESET se domnívá, že skupina Gelsemium stojí i za operací NightScout, útokem na dodavatelský řetězec pro hráče v Asii z února letošního roku. Kybernetičtí zločinci v tomto případě zacílili útok na aktualizace herního emulátoru NoxPlayer, který umožňuje spustit mobilní hru na počítači. Tuto oblíbenou aplikaci vývojářské firmy BigNox používá více než 150 milionů lidí po celém světě. Výzkum společnosti ESET odhalil spojitost mezi útokem na dodavatelský řetězec a skupinou Gelsemium. Oběti, které byly původně zasažené útokem na dodavatelský řetězec se později stali i terčem skupiny Gelsemine.

Označeno tagem