Výskumníci spoločnosti ESET predstavujú novú správu ESET APT Activity Report, ktorá mapuje aktivitu APT skupín napojených na Rusko, Čínu, Severnú Kóreu a Irán. Prvé vydanie pokrýva obdobie od mája do augusta tohto roka. Pozrime sa na najzásadnejšie zistenia.
Primárnym cieľom APT skupín spájaných s Ruskom je Ukrajina
Februárovú ruskú inváziu na Ukrajinu sprevádzali ničivé kybernetické útoky, ktoré odhalili výskumníci spoločnosti ESET. Deštrukčný malvér typu data wiper iba niekoľko hodín pred inváziou kompletne mazal dáta ukrajinským organizáciám. Niekoľko mesiacov po ruskej invázii zostáva Ukrajina hlavným cieľom APT skupín, ktoré sú napojené na Rusko. Ukrajinské ciele sú v hľadáčiku neslávne známej skupiny Sandworm, ale aj Gamaredon, InvisiMole, Callisto a Turla.
Počas sledovaného obdobia výskumníci spoločnosti ESET zaznamenali, že niektoré skupiny napojené na Rusko využili ruskú multiplatformovú službu Telegram na prístup k riadiacim serverom, alebo ako nástroj na únik informácií. „Útočníci z ostatných regiónov sa takisto snažili získať prístup do ukrajinských organizácií za účelmi kybernetickej špionáže aj krádeže intelektuálneho vlastníctva,“ vysvetľuje Jean-Ian Boutin, riaditeľ ESET Threat Research.
Hackeri napojení na Severnú Kóreu sa zameriavajú na letecký priemysel a finančné inštitúcie
Nedávno sme informovali o tom, ako skupina Lazarus napadla zamestnanca leteckej spoločnosti v Holandsku, pričom ho nalákala na falošnú pracovnú ponuku. Pri útoku hackeri zneužili na infiltráciu do jeho spoločnosti zraniteľnosť v legitímnom Dell ovládači. Išlo pravdepodobne o prvý zaznamenaný prípad v reálnom prostredí.
Okrem leteckého a obranného priemyslu sa útočníci blízki KĽDR, napríklad zo skupiny Kimsuky, zameriavajú vo veľkom na finančné inštitúcie a firmy, ktoré sa zaoberajú kryptomenami.
Čo sú to APT skupiny?
Skupiny zameriavajúce sa na pokročilé pretrvávajúce hrozby (Advanced Persistent Threats – APT) sú zoskupenia útočníkov, zvyčajne z radov štátnych organizácií, alebo ide o organizácie, ktoré pracujú na objednávku štátov. Zameriavajú sa na cielené a sofistikované kybernetické operácie v snahe preniknúť do systémov vysokopostavených cieľov (vládne organizácie, korporácie) a nepozorovane v ňom zostať dlhší čas. Robia tak väčšinou za účelom dlhodobej kybernetickej špionáže a kradnutia citlivých údajov. APT skupiny disponujú širokou škálou poznatkov, pokročilými nástrojmi a technikami, vďaka ktorým dokážu zneužívať zero-day zraniteľnosti.
APT skupiny blízke Číne využili viaceré zraniteľnosti aj nové backdoory
Aktívne boli aj skupiny napojené na Čínu. Podarilo sa im využiť viaceré zraniteľnosti aj úplne nové backdoory. Medzi takéto prípady patril aj nový variant backdooru SideWalk pre Linux z dielne skupiny SparklingGoblin. Zoskupenie ho nasadilo proti univerzite v Hongkongu.
Tá istá skupina zneužila Confluence zraniteľnosť pri útoku na potravinársku spoločnosť v Nemecku a strojársku spoločnosť so sídlom v USA.
V Japonsku zaznamenali výskumníci spoločnosti ESET niekoľko kampaní skupiny MirrorFace, pričom jedna sa týkala priamo volieb do hornej komory japonského parlamentu.
Skupiny spriaznené s Iránom cielia najmä na Izrael
Čoraz väčší počet skupín spriaznených s iránskym režimom sa zameriava najmä na izraelské ciele. Výskumníkom spoločnosti ESET sa podarilo pripísať kampaň zacielenú na desiatku organizácií v Izraeli skupine POLONIUM, pričom identifikovali niekoľko dovtedy nezdokumentovaných backdoorov a špionážnych nástrojov. Skupina POLONIUM pri útokoch zneužila cloudové služby ako Dropbox, Mega či OneDrive na komunikáciu s riadiacim strediskom.
Skupina Agrius sa zas podľa všetkého v rámci útoku na dodávateľský reťazec zneužívajúci izraelské softvéry zamerala na organizácie v Južnej Afrike, Hongkongu a Izraeli pôsobiace v priemysle s diamantmi.
ESET tiež odhalil novú verziu Android malvéru s obmedzenými špionážnymi funkciami. Bol použitý v kampani skupiny APT-C-50 group a rozšírený cez falošnú iránsku stránku na prekladanie.