Krátko pred parlamentnými voľbami prebehol aj phishingový útok skupiny MustangPanda na vládne organizácie na Slovensku.
Skupiny kybernetických kriminálnikov prepojené na viaceré ruské tajné služby útočia aj rok a pol po začiatku vojny na digitálny priestor Ukrajiny a jej verejný sektor. Od sabotáží sa vo väčšej miere presúvajú k špionáži, oznámila spoločnosť Eset na svojej výročnej konferencii.
Skupiny spojené s Čínou sa zasa viac zameriavajú na krajiny Európskej únie, kde útočia na verejné organizácie aj súkromné spoločnosti.
Útoky zovšadiaľ
Na svoje útoky zneužívali tieto skupiny zraniteľné miesta v bežne používanom softvéri či hardvéri, napríklad WinRAR, serveroch Microsoft Exchange a windowsových serveroch IIS, informuje Eset vo štvrťročnej správe venovanej kriminalite APT skupín (tie podnikajú takzvané pokročilé trvalé hrozby).
Útočníci na svoje aktivity využívajú aj virtuálne súkromné siete, známe ako VPN, servery ako Microsoft Exchange či služby ako Google Cloud alebo Cloudflare, konštatoval Eset. Ukrajinskí používatelia sociálnej siete Telegram boli zasa využívaní na zber súkromných údajov.
Konkrétne, skupiny Sednit a Sandworm, ktoré sú spojené s Ruskom, skupina Konni zo Severnej Kórey a geograficky nepriradené Winter Vivern a SturgeonPhisher využili zraniteľné miesta vo WinRARe, emailovom klientovi Roundcube, kolaboratívnom softvéri Zimbra a Outlooku pre Windows.
Skupina Gallium, ktorá je spojená s Čínou, pravdepodobne využila slabé stránky serverov Microsoft Exchange alebo serverov IIS a rozšírila zacielenie z telekomunikačných operátorov na vládne organizácie po celom svete.
Ďalšia čínska skupina MirrorFace zneužila pravdepodobne zraniteľné miesta v službe online úložiska Proself a TA410 chyby v serveri Adobe ColdFusion.
Aj skupiny spojené s Iránom a Blízkym východom pokračovali vo výraznej aktivite, predovšetkým sa zameriavali na špionáž a krádeže údajov z organizácií v Izraeli. Iránska MuddyWater sa zasa zamerala aj na neidentifikovanú entitu v Saudskej Arábii.
Rusi pokračujú v kampani proti Ukrajine
Hlavným cieľom skupín napojených na Rusko zostala Ukrajina. Eset v spomínanom období objavil nové verzie známych wiperov (programov, ktoré mažú dáta) RoarBat a NikoWiper a nový wiper, ktorý nazval SharpNikoWiper, všetky rozširované skupinou Sandworm.
Kým iné ruské skupiny ako Gamaredon, GREF a SturgeonPhisher sa zameriavajú na používateľov Telegramu, aby sa pokúsili získať informácie alebo metadáta, Sandworm túto službu aktívne využíva aj na vlastné kybersabotážne aktivity, tvrdí Eset.
Najaktívnejšou skupinou na Ukrajine zostal tak ako v predchádzajúcom období Gamaredon, ktorý výrazne zlepšil svoje kapacity zberu údajov, keď prestaval existujúce nástroje a nasadil nové.
„Nedostatky v sofistikovanosti svojich útokov nahrádza Gamaredon ich objemom,“ konštatoval Róbert Lipovský, principal threat intelligence researcher Esetu.
Róbert Lipovský, principal threat intelligence researcher Esetu. Foto: Forbes/Miro Nôta
Táto skupina je v digitálnom priestore Ukrajiny aktívna už od roku 2013, teda už v období pred ruskou inváziou na Krym. Počet detekcií jej malvéru presiahol už 60-tisíc.
Gamaredon, ktorý má podľa bezpečnostných agentúr krajín NATO prepojenia s ruskou spravodajskou službou FSB, spolupracoval aj so sofistikovanejšími útokmi InvisiMole.
Podľa Esetu je možné, že masové útoky Gamaredonu boli prvou fázou, akýmsi výberom vhodných obetí pre cielenejšie útoky InvisiMole. Tie by mali byť prepojené s inou ruskou službou, zahraničnou rozviedkou SVR.
Skupina Sednit, ktorá je spojená s ruskou agentúrou GRU, zasa útočila aj na ciele v Európskej únii, napríklad v Poľsku, Grécku, Chorvátsku, Srbsku a Česku.
Bielorusko špehovalo diplomatov
Novým aktérom v kybernetickom priestore je aj skupina MoustachedBouncer, ktorú Eset identifikoval ako spojenú s Bieloruskom. Je aktívna už od roku 2014, jej cieľom boli napríklad západní diplomati v Bielorusku, ktorých sleduje pravdepodobne tak, že sa stane súčasťou ich komunikačného reťazca s poskytovateľmi internetu.
„Komunikáciu presmeruje na zdanlivo legitímnu, ale falošnú stránku Windows Update,“ hovorí výskumník spoločnosti ESET Matthieu Faou, ktorý objavil túto skupinu
Skupiny, napojené na Severnú Kóreu sa naďalej zameriavali na Japonsko, Južnú Kóreu a Južnú Kóreu, pričom používali kvalitne vytvorené spearphishingové e-maily (podvodné maily, cielené a personalizované pre konkrétne obete).
Najaktívnejšou pozorovanou kampaňou skupiny Lazarus bola operácia DreamJob, ktorá lákala obete falošnými pracovnými ponukami na lukratívne pozície.
Táto skupina demonštrovala aj schopnosť vytvárať malvér pre všetky hlavné desktopové platformy.
Výskumníci Esetu odhalili aj predtým neidentifikovanú skupinu spojenú s Činou The Wizards, ktorá podnikala takzvané adversary in the middle (AitM) útoky, teda podobne ako MoustachedBouncer sa dokázala zapojiť ako článok do komunikácie dvoch legitímnych entít.
Útoky aj v Európskej únii
V apríli prebehol veľký hackerský útok aj v Európskej únii, ktorého cieľom bolo slovinské ministerstvo zahraničných vecí. Tento útok je podľa Esetu spojený s aktivitami čínskych skupín. Skupina Ke3Chang bola v súvisiacej oblasti podľa Esetu aktívna už v roku 2019.
Jeden z útokov analyzovaných Esetom prebiehal vo viacerých fázach od júla 2022 do začiatku roka 2023.
Krátko pred parlamentnými voľbami prebehol aj phishingový útok skupiny MustangPanda na vládne organizácie na Slovensku. Eset nezaznamenal, že by útočníci dosiahli úspech, predpokladá však, že cieľom kampane bolo zistiť, ktorí požívatelia podvrhnutý email otvorili.
V ďalšej vlne by sa tak cielený útok mohol zamerať iba na nich. Táto technika má útočníkom pomôcť vyhnúť sa štandardnej detekcii, ktorá reaguje na nečakané zvýšené toky dát medzi servermi.
Medzi skupiny spojené s Čínou zaradil Eset aj zoskupenie s názvom DigitalRecyclers, ktoré opakovane kompromitovalo istú vládnu organizáciu v Európskej únii.
Sofistikované útoky štátnych aktérov
Aj viaceré útoky spojené s Čínou vykazovali podobne ako ruský InvisiMole známky spolupráce viacerých špecializovaných aktérov s väčšími zdrojmi. Tento poznatok zapadá do čoraz často pozorovaného scenára, v ktorom štátni aktéri v čoraz väčšom rozsahu používajú kybernetickú kriminalitu ako nástroj zahraničnej politiky v zahraničnopolitickom prostredí studenej vojny, upozornil na konferencii Esetu Andy Garth, bývalý britský veľvyslanec na Slovensku a director of government affairs Esetu.
