Criminelen bespioneren belangrijke overheidsinstellingen en persdienst in de Oekraïne, Rusland en Wit-Rusland

ESET heeft een uitgebreide analyse gemaakt van de wijze waarop de cyberspionagegroep achter de malwarefamilie Win32/Potao te werk is gegaan. De Potao-familie is een typische cyberspionage-trojan, die wachtwoorden en gevoelige informatie steelt om ze vervolgens aan te bieden aan de aanvaller. De cyberspionnen gebruikten de malware met name voor het stelen van data van overheidsinstellingen in Oekraïne, Rusland en Wit-Rusland en een persdienst in Oekraïne.

Social engineering 

Win32/Potao is dan ook een voorbeeld van spionagemalware en actief sinds 2011. De laatste twee jaar werd deze malware steeds vaker gesignaleerd. Opvallend was dat de spionnen geen misbruik hoefden te maken van softwarelekken of gaten in de beveiliging. Ze pasten met name social engineering toe, een methode die uitgaat van het manipuleren van mensen.

Gerichte aanvallen

De aanvallen met de malware waren beslist niet willekeurig. Net als BlackEnergy, is Potao gebruikt om Oekraïense overheidsinstellingen, militaire doelen en een grote persdienst te bespioneren. Ook leden van MMM, een financieel piramidespel, dat populair is in Rusland en de Oekraïne, zijn zo in de gaten gehouden.

Encyrptiesoftware als infectiehaard

Uit de analyse blijkt dat er een relatie is met een Russische versie van TrueCrypt en de truecryptrussia.ru website. Deze website leverde niet alleen geïnfecteerde encryptie software, maar trad in sommige gevallen ook op als een command and control (C&C) server voor de backdoor. Dat is opvallend, wat TrueCrypt is een bekende, veelgebruikte oplossing voor het versleutelen van data.

In het ESET blog en de whitepaper ‘Operation Potao Express’ worden de technische details en verspreidingsmechanismen van deze malware-variant uitgebreid beschreven.