Firmy zajmujące się transportem (m.in. paliw) stały się w ostatnich tygodniach celem wyrafinowanego ataku hakerskiego – donoszą specjaliści z działającego w ramach firmy Palo Alto Networks zespołu ds. cyberbezpieczeństwa Unit 42. Hakerzy używali m.in. nieznanego wcześniej złośliwego oprogramowania xHunt, który pozwala im zdalnie monitorować pracę zainfekowanych systemów i próbować przejmować kontrolę nad nimi.
Złośliwe oprogramowanie xHunt (nazwane tak od znalezionego w kodzie nawiązania do anime Hunter x Hunter) jest złożonym, wszechstronnym koniem trojańskim. Co ciekawe, z dotychczasowych analiz wynika, że jest to zupełnie nowe oprogramowanie, a nie zmodyfikowana wersja znanego wcześniej trojana. Pierwsze jego kopie znaleziono w maju 2019 roku w sieci jednej z kuwejckich firm transportowanych. xHunt posłużył tam do zainfekowania systemu, a następnie zainstalowania w nim backdoora Hisoka. To z kolei pozwoliło na wprowadzenie do sieci kolejnych złośliwych aplikacji, w tym m.in. zaawansowanego „kombajnu” szpiegowskiego Gon, który umożliwiał swojemu operatorowi m.in. poszukiwanie i monitorowanie otwartych portów, wykonywania zrzutów ekranu, pobieranie z zainfekowanego systemu plików (oraz wysyłanie ich do niego), a także wykonywanie komend i aktywowanie połączeń RDP (Remote Desktop Protocol). Specjaliści tłumaczą, że Gon zapewnia przestępcy praktycznie nieskrępowany dostęp do zainfekowanego systemu, a także – umożliwia stałe jego monitorowanie.
Podczas dalszych analiz wykryto również kolejne złośliwe aplikacje (m.in. narzędzie o nazwie Sakabota) – wszystkie one wykazywały pewne cechy wspólne (m.in. współdzieliły fragmenty kodu), pozwalające sądzić, że są dziełem tej samej osoby lub osób. Na razie nie ma dowodów, że którakolwiek z tych aplikacji była wykorzystywana do jakichś złośliwych operacji (np. sabotowania łańcucha logistycznego) – faktem jednak jest, że pozwalały one na kompleksowe szpiegowanie firm, do których należały zainfekowane systemy. W większości były to przedsiębiorstwa zajmujące się transportem lądowym i morskim, wywodzące się z Kuwejtu. Przedstawiciele Unit 42 wciąż prowadzą dochodzenie w tej sprawie, zamierzają też cały czas monitorować aktywność owych złośliwych aplikacji – być może pozwoli to na uzyskanie odpowiedzi na pytanie, kto stoi za atakami i jaki był ich cel.
