Gelsemium - grupa cyberszpiegów uderza na świecie

Ofiarami ataków stały się rządy, organizacje religijne, producenci elektroniki i uniwersytety. Kim są ludzie ukryci za nazwą Gelsemium i jak działają?

Informacje o grupie pochodzą od badaczy bezpieczeństwa z ESET, którzy już od połowy 2020 r. eksperci przeanalizowali wiele kampanii, przypisanych później grupie Gelsemium. Jak na razie rejonem jej ataków są kraje Azji Wschodniej oraz na Bliskim Wschodzie. Grupa ta działa już długi czas - pierwsze wzmianki o niej pojawiły się w 2014 roku przy okazji wykrycia afery cyberszpiegowskiej. Jednak na tym nie koniec i każdy kolejny rok przynosi nowe informacje o jej akcjach. W grupie znajdują się specjaliści wysokiej klasy - szczegółowe informacje na temat ich aktywności są trudne do znalezienia. Według danych telemetrycznych ESET grupa koncentruje swoje ataki jedynie na kilku ofiarach.

Gelsemium wykorzystuje trzy komponenty i system wtyczek, które zapewniają operatorom złośliwego oprogramowania szereg możliwości gromadzenia informacji;

  • dropper Gelsemine - złośliwy program przeznaczony do dostarczania innego złośliwego oprogramowania. Jest napisany jest w języku C++ przy użyciu biblioteki Microsoft Foundation Class;
  • loader Gelsenicyne – moduł ładujący, osadzony przez droppera o nazwie main.dll w systemie ofiary, utrudniający wykrycie zagrożenia;
  • główna wtyczka Gelseverine

Thomas Dupuy, badacz ESET, współautor analizy badawczej dot. Gelsemium, wyjaśnia:

Na pierwszy rzut oka cały łańcuch infekcji Gelsemium może wydawać się prosty. Jednak duża liczba konfiguracji, implantowanych na każdym jego etapie, umożliwia znaczącą modyfikację ustawień ostatecznej postaci szkodliwego kodu. Taki mechanizm znacznie utrudnia zrozumienie sposobu działania tego złośliwego oprogramowania

Badacze ESET uważają, że Gelsemium stoi za atakiem na łańcuch dostaw BigNox, który na początku 2021 roku został udokumentowany przez ESET jako OperationNightScout. Ten cyberatak został wymierzony w mechanizm aktualizacji NoxPlayer - popularnego emulatora Androida dla komputerów, a także część gamy produktów BigNox. Łaczna liczba ich użytkowników sięga 150 milionów osób na całym świecie.

Więcej szczegółów na temat działalności Gelsemium dostępnych jest na portalu WeLiveSecurity.