Společnost Eset zaznamenává setrvalou aktivitu tzv. APT skupin, tedy různými státy sponzorovaných kybernetických útočníků, kteří se pokročilými technikami snaží získat data konkrétních cílů za účelem kyberšpionáže.
Mezi ty nejaktivnější podle analytiků patří skupiny spojované s Ruskem, Čínou, Íránem a Severní Koreou. Dokládají to zjištění z nové zprávy s názvem Eset APT Activity Report, která mapuje období od května do srpna 2022.
Ta potvrzuje, že Ukrajina je i nadále hlavním cílem APT skupin napojených na Rusko, jako je nechvalně známá skupina Sandworm, nebo také skupiny Gamaredon, InvisiMole, Callisto a Turla. Skupiny napojené na Severní Koreu se nadále s velkým zájmem zaměřují na letecký a obranný průmysl nebo na finanční a kryptoměnové společnosti a burzy.
„Jednou z aktivit, kterou jsme ve sledovaném období zaznamenali u několika skupin napojených na Rusko, bylo zneužití ruské multiplatformní komunikační služby Telegram k přístupu na C&C servery nebo jako nástroj k úniku informací,“ říká Robert Šuman, vedoucí pražského výzkumného oddělení Esetu.
Útočníci z jiných regionů se podle Šumana také snažili získat přístup do ukrajinských organizací, a to jak za účelem kybernetické špionáže, tak krádeže duševního vlastnictví.
Vzdušné síly v hledáčku Severokorejců
„Letecký a obranný průmysl je i nadále předmětem zájmu severokorejských skupin. Skupina Lazarus se například zaměřila na zaměstnance letecké společnosti v Nizozemsku. Odhalili jsme, že skupina zneužila zranitelnost v legitimním ovladači Dell k infiltraci do společnosti a domníváme se, že se jedná o vůbec první zaznamenané reálné zneužití této zranitelnosti,“ pokračuje Šuman.
Eset upřesňuje, že finanční instituce a subjekty pracující s kryptoměnami se také staly cílem kampaní severokorejských skupin, a to konkrétně skupin Kimsuky a Lazarus. Jedna z kampaní, kterou experti nazvali Operace In(ter)ception, se odklonila od obvyklých cílů z oblasti leteckého a obranného průmyslu.
Útočníci se v tomto případě zaměřili na jedince z Argentiny, kterému nastrčili malware maskovaný za nabídku práce ve společnosti Coinbase. Eset také zaznamenal skupinu Konni využívající techniku, kterou v minulosti používala skupina Lazarus – kompromitovanou verzi PDF prohlížeče Sumatra.
Číňani klepají na zadní vrátka
Mimořádně aktivní byly podle analytiků společnosti Eset i skupiny napojené na Čínu, které využívaly různé zranitelnosti a dosud nezaznamenané backdoory (tzv. zadní vrátka).
Společnost například identifikovala novou variantu backdooru pro Linux, kterou použila skupina SparklingGoblin proti univerzitě v Hongkongu. Stejná skupina využila zranitelnost Confluence k útoku na potravinářskou společnost v Německu a strojírenskou společnost se sídlem v USA.
Eset má také podezření, že zranitelnost ManageEngine ADSelfService Plus stála za kompromitací amerického dodavatele obranných technologií, jehož systémy byly narušeny pouhé dva dny po zveřejnění zranitelnosti.
V Japonsku kyberbezpečnostní společnost identifikovala několik kampaní MirrorFace, z nichž jedna přímo souvisela s volbami do horní komory japonského parlamentu.
Íránští špioni využívají malware
Rostoucí počet skupin napojených na Írán se nadále zaměřoval především na izraelské cíle. Výzkumným analytikům se podařilo přiřadit kampaň zaměřenou na desítku organizací v Izraeli skupině Polonium a identifikovat několik dosud nezdokumentovaných backdoorů.
Skupina Agrius se podle všeho zase v rámci útoku na dodavatelský řetězec, v rámci kterého zneužila izraelský softwarový balík, zaměřovala na organizace v Jihoafrické republice, Hongkongu a Izraeli, které působí v diamantovém průmyslu.
V další útočné kampani v Izraeli experti pozorovali možný průnik v použití nástrojů skupinami MuddyWater a APT35. Eset také objevil novou verzi malwaru pro Android s omezenými špionážními funkcemi, která byla použitá v kampani vedené skupinou APT-C-50 a distribuována falešnou íránskou webovou stránkou s překlady.
„Připsat útok konkrétní skupině, o které víme, že je navíc napojena na konkrétní stát, je vždy velmi komplikované. Kybernetické útoky zpravidla nerespektují státní hranice a snahou útočníků je udělat všechno proto, aby útok nešlo zpětně vystopovat a vyšetřit,“ vysvětluje Šuman.
„Na druhou stranu jsou tady útočné skupiny, o jejichž aktivitách máme díky našemu dlouholetému výzkumu již mnoho informací. A právě na ně se v našich pravidelných zprávách nyní zaměříme,“ uzavírá.
Zdroj: Eset