Eset: Státy sponzorovaní kyberzločinci zůstávají mimořádně aktivní

19. 12. 2022
Doba čtení: 3 minuty

Sdílet

 Autor: Fotolia
Cílem skupin spojených s Ruskem je i nadále Ukrajina, útočníci napojení na Severní Koreu se zaměřují na letecký a obranný průmysl.

Společnost Eset zaznamenává setrvalou aktivitu tzv. APT skupin, tedy různými státy sponzorovaných kybernetických útočníků, kteří se pokročilými technikami snaží získat data konkrétních cílů za účelem kyberšpionáže.

Mezi ty nejaktivnější podle analytiků patří skupiny spojované s Ruskem, Čínou, Íránem a Severní Koreou. Dokládají to zjištění z nové zprávy s názvem Eset APT Activity Report, která mapuje období od května do srpna 2022.

Ta potvrzuje, že Ukrajina je i nadále hlavním cílem APT skupin napojených na Rusko, jako je nechvalně známá skupina Sandworm, nebo také skupiny Gamaredon, InvisiMole, Callisto a Turla. Skupiny napojené na Severní Koreu se nadále s velkým zájmem zaměřují na letecký a obranný průmysl nebo na finanční a kryptoměnové společnosti a burzy.

Jednou z aktivit, kterou jsme ve sledovaném období zaznamenali u několika skupin napojených na Rusko, bylo zneužití ruské multiplatformní komunikační služby Telegram k přístupu na C&C servery nebo jako nástroj k úniku informací,“ říká Robert Šuman, vedoucí pražského výzkumného oddělení Esetu.

Útočníci z jiných regionů se podle Šumana také snažili získat přístup do ukrajinských organizací, a to jak za účelem kybernetické špionáže, tak krádeže duševního vlastnictví.

Vzdušné síly v hledáčku Severokorejců

Letecký a obranný průmysl je i nadále předmětem zájmu severokorejských skupin. Skupina Lazarus se například zaměřila na zaměstnance letecké společnosti v Nizozemsku. Odhalili jsme, že skupina zneužila zranitelnost v legitimním ovladači Dell k infiltraci do společnosti a domníváme se, že se jedná o vůbec první zaznamenané reálné zneužití této zranitelnosti,“ pokračuje Šuman.

Eset upřesňuje, že finanční instituce a subjekty pracující s kryptoměnami se také staly cílem kampaní severokorejských skupin, a to konkrétně skupin Kimsuky a Lazarus. Jedna z kampaní, kterou experti nazvali Operace In(ter)ception, se odklonila od obvyklých cílů z oblasti leteckého a obranného průmyslu.

Útočníci se v tomto případě zaměřili na jedince z Argentiny, kterému nastrčili malware maskovaný za nabídku práce ve společnosti Coinbase. Eset také zaznamenal skupinu Konni využívající techniku, kterou v minulosti používala skupina Lazarus – kompromitovanou verzi PDF prohlížeče Sumatra.

Číňani klepají na zadní vrátka

Mimořádně aktivní byly podle analytiků společnosti Eset i skupiny napojené na Čínu, které využívaly různé zranitelnosti a dosud nezaznamenané backdoory (tzv. zadní vrátka).

Společnost například identifikovala novou variantu backdooru pro Linux, kterou použila skupina SparklingGoblin proti univerzitě v Hongkongu. Stejná skupina využila zranitelnost Confluence k útoku na potravinářskou společnost v Německu a strojírenskou společnost se sídlem v USA.

Eset má také podezření, že zranitelnost ManageEngine ADSelfService Plus stála za kompromitací amerického dodavatele obranných technologií, jehož systémy byly narušeny pouhé dva dny po zveřejnění zranitelnosti.

V Japonsku kyberbezpečnostní společnost identifikovala několik kampaní MirrorFace, z nichž jedna přímo souvisela s volbami do horní komory japonského parlamentu.

Íránští špioni využívají malware

Rostoucí počet skupin napojených na Írán se nadále zaměřoval především na izraelské cíle. Výzkumným analytikům se podařilo přiřadit kampaň zaměřenou na desítku organizací v Izraeli skupině Polonium a identifikovat několik dosud nezdokumentovaných backdoorů.

Skupina Agrius se podle všeho zase v rámci útoku na dodavatelský řetězec, v rámci kterého zneužila izraelský softwarový balík, zaměřovala na organizace v Jihoafrické republice, Hongkongu a Izraeli, které působí v diamantovém průmyslu.

V další útočné kampani v Izraeli experti pozorovali možný průnik v použití nástrojů skupinami MuddyWater a APT35. Eset také objevil novou verzi malwaru pro Android s omezenými špionážními funkcemi, která byla použitá v kampani vedené skupinou APT-C-50 a distribuována falešnou íránskou webovou stránkou s překlady.

Připsat útok konkrétní skupině, o které víme, že je navíc napojena na konkrétní stát, je vždy velmi komplikované. Kybernetické útoky zpravidla nerespektují státní hranice a snahou útočníků je udělat všechno proto, aby útok nešlo zpětně vystopovat a vyšetřit,“ vysvětluje Šuman.

bitcoin_skoleni

Na druhou stranu jsou tady útočné skupiny, o jejichž aktivitách máme díky našemu dlouholetému výzkumu již mnoho informací. A právě na ně se v našich pravidelných zprávách nyní zaměříme,“ uzavírá.

Zdroj: Eset

Čtěte dále

HPE ocenilo partnery roku 2024, nejlepším distributorem je DNS
HPE ocenilo partnery roku 2024, nejlepším distributorem je DNS
ComSource: Čtyři z pěti organizací kritické infrastruktury čelily phishingu
ComSource: Čtyři z pěti organizací kritické infrastruktury čelily phishingu
IDC: Silný podzimní vzestup tabletů, dodávky vyrostly o 20 %
IDC: Silný podzimní vzestup tabletů, dodávky vyrostly o 20 %
AT Computers je opět nejlepším distributorem klientských zařízení Dell
AT Computers je opět nejlepším distributorem klientských zařízení Dell
IDC: Dodávky průmyslových tiskáren stagnují, výkonnost segmentů se ale liší
IDC: Dodávky průmyslových tiskáren stagnují, výkonnost segmentů se ale liší
Coffee break: Když Wi-Fi potřebuje překonávat i kovové zdi
Coffee break: Když Wi-Fi potřebuje překonávat i kovové zdi