Experti agentury odhalili malware namířený proti významné softwarové společnosti, jejíž produkty používají ukrajinské státní instituce. A prohlásili, že „pravděpodobně jde o útok hackerů sponzorovaných ruským státem“. Cisco Talos soudí, že konečným cílem hackerské kampaně mohlo být tzv. napadení dodavatelského řetězce.
Tak se označují napadení, kdy se útočníkovi podaří propašovat škodlivý kód do hardwaru nebo softwaru (jako v tomto případě, pozn. red.) důvěryhodného IT dodavatele. Virus se potom může šířit například tak, že v organizaci, která daný software využívá, proběhne rutinní aktualizace a s ní se do sítě dostane i podvržený škodlivý kód.
Vzhledem k tomu, že některé aplikace mají například stovky tisíc uživatelů, je pak nebezpečí plynoucí z napadení dodavatelského řetězce skutečně velké. Cisco Talos však zároveň uvedla, že zatím nemá náznaky, že by k napadení dodavatelského řetězce reálně došlo. Tým agentury již od počátku ruské agrese úzce spolupracuje s ukrajinskými zákazníky, jimž poskytuje přímou bezpečnostní podporu.
Škodlivý software, který experti Cisco Talos odhalili, se poprvé objevil letos v květnu. Představuje specializovanou verzi open-source backdooru GoMet a je určen k udržení trvalého vzdáleného přístupu do sítě. Backdoor (česky zadní vrátka, pozn. red.) je kód umožňující přes počítačovou síť převzít kontrolu nad infikovanými počítači a ovládat je na dálku.
Útočníkovi např. dovoluje nahrávat a stahovat soubory, spouštět příkazy a používat zařízení jako oporu k šíření do dalších sítí a systémů. Škodlivý implantát přitom obsahuje tzv. cron, tedy funkci, která se spouští každé dvě sekundy a kontroluje, zda je malware propojen s příkazovým a řídícím serverem. V tomto případě šlo o falešně naplánované úlohy aktualizace systému Windows.
