Výskumníci spoločnosti ESET vydali najnovšiu správu APT Activity Report, ktorá sumarizuje aktivity vybraných skupín pokročilých pretrvávajúcich hrozieb (Advanced Persistent Threat – APT). Operácie hackerov zdokumentovali od októbra 2023 do konca marca 2024. Analyzované kampane sú reprezentatívne pre širšie spektrum hrozieb, ktoré ESET v tomto období skúmal a ilustrujú kľúčové trendy a vývoj.
Aktivity hackerov
Po útoku na Izrael vedenom Hamasom v októbri 2023 a počas prebiehajúcej vojny v Gaze spoločnosť ESET zaznamenala výrazný nárast aktivity skupín napojených na Irán. Skupiny napojené na Rusko zamerali svoje aktivity na špionáž v rámci Európskej únie a útoky proti Ukrajine. Na druhej strane, viacerí útočníci napojení na Čínu využívali zraniteľnosti v technológiách určených pre verejnosť, ako sú VPN a firewally, a v softvéroch, ako sú Confluence a Microsoft Exchange Server, na prvotný prístup k cieľom vo viacerých sférach. Skupiny napojené na Severnú Kóreu sa naďalej zameriavali na letecké a obranné spoločnosti a odvetvie kryptomien.
„Cieľmi väčšiny kampaní boli vládne organizácie a určité vertikály: napríklad tie, ktoré sa stali terčom pokračujúcich a neúnavných útokov na ukrajinskú infraštruktúru. Európa zažila rozmanitejšiu škálu útokov od rôznych útočníkov. Skupiny napojené na Rusko posilnili svoje zameranie na špionáž v Európskej únii, kde si udržiavajú stálu prítomnosť aj hackeri napojení na Čínu, čo naznačuje pretrvávajúci záujem o európske záležitosti zo strany skupín napojených na Rusko aj Čínu,“ hovorí Jean-Ian Boutin, riaditeľ výskumu hrozieb v spoločnosti ESET.
Skupiny napojené na Čínu
Na základe úniku dát z čínskej spoločnosti I-SOON (Anxun), ktorá poskytuje bezpečnostné služby, môže ESET potvrdiť, že tento čínsky dodávateľ sa skutočne zaoberá kybernetickou špionážou. ESET sleduje časť aktivít tejto spoločnosti v rámci skupiny FishMonger. V najnovšej správe ESET tiež predstavuje novú APT skupinu napojenú na Čínu, CeranaKeeper, ktorá sa vyznačuje jedinečnými znakmi, avšak podľa všetkého je digitálnou stopou spojená so skupinou Mustang Panda.
Skupiny napojené na Irán
V prípade skupín napojených na Irán prešli MuddyWater a Agrius od svojho predchádzajúceho zamerania na kybernetickú špionáž a ransomvér k agresívnejším stratégiám zahŕňajúcim poskytovanie prístupu a útoky s väčším dosahom. Aktivity skupín OilRig a Ballistic Bobcat medzitým zaznamenali pokles, čo naznačuje strategický posun k nápadnejším, „hlasnejším“ operáciám zameraným na Izrael.
Skupiny napojené na Rusko
Pokiaľ ide o hackerov spojených s Ruskom, kampaň Operation Texonto, dezinformačná a psychologická operácia (PSYOP), ktorú odhalili výskumníci spoločnosti ESET, šírila nepravdivé informácie o protestoch súvisiacich s ruskými voľbami a o situácii vo východoukrajinskej metropole Charkov, čím podporovala neistotu medzi Ukrajincami doma aj v zahraničí.
Ostatné skupiny
Správa opisuje aj zneužitie zero-day zraniteľnosti v e-mailovom klientovi Roundcube skupinou Winter Vivern, ktorá podľa výskumníkov spoločnosti ESET koná v súlade so záujmami Bieloruska. Okrem toho ESET upozorňuje na kampaň na Blízkom východe, ktorú realizovala skupina SturgeonPhisher, o ktorej sa výskumníci ESET domnievajú, že operuje v súlade so záujmami Kazachstanu.