Foto: Shutterstock

Rusko: Sanworm, Gamaredon či Turla

Po vzore renomovanej správy o kybernetickej bezpečnosti ESET Threat Report vydávajú výskumníci spoločnosti aj ESET APT Activity Report. Cieľom tejto správy je ponúknuť pravidelný prehľad o zisteniach týkajúcich sa aktivity skupín zameraných na pokročilé pretrvávajúce hrozby (Advanced Persistent Threat – APT).

Prvé vydanie správy mapuje obdobie od mája do augusta tohto roka. Výskumníci počas týchto mesiacov zaznamenali aktivity skupín napojených na Rusko, Čínu, Irán a Severnú Kóreu. Aj pol roka po ruskej invázii zostáva Ukrajina hlavným cieľom APT skupín napojených na Rusko, ako napríklad neslávne známej Sandworm, ale aj Gamaredon, InvisiMole, Callisto a Turla. Pre Severnú Kóreu zase predstavujú najlákavejšie ciele finančné spoločnosti a firmy pôsobiace vo sfére kryptomien. 

„Počas sledovaného obdobia sme zaznamenali, že niektoré skupiny napojené na Rusko využili ruskú multiplatformovú službu Telegram na prístup k riadiacim serverom, alebo ako nástroj na únik informácií. Útočníci z ostatných regiónov sa takisto snažili získať prístup do ukrajinských organizácií s cieľom kybernetickej špionáže aj krádeže intelektuálneho vlastníctva,“ vysvetľuje riaditeľ ESET Threat Research Jean-Ian Boutin.

Severná Kórea: Lazarus a Kimsuky

„Letecký a obranný priemysel predstavuje zaujímavý cieľ pre skupiny napojené na Severnú Kóreu. Skupina Lazarus napríklad zaútočila na zamestnanca leteckej spoločnosti v Holandsku. Odhalili sme, že skupina zneužila na infiltráciu do spoločnosti zraniteľnosť v legitímnom Dell ovládači. Podľa našich zistení išlo o prvý zaznamenaný prípad v reálnom prostredí,“ pokračuje odborník.

Finančné inštitúcie a spoločnosti zaoberajúce sa kryptomenami boli terčmi skupiny Kimsuky a dvoch kampaní skupiny Lazarus. Jedna z týchto kampaní, ktorú ESET pomenoval ako Operácia In(ter)ception, sa vymykala zvyčajným cieľom, medzi ktoré patria letecké a obranné spoločnosti.

Útočníci sa v tomto prípade zamerali na osobu z Argentíny, ktorej nasadili malvér prestrojený za pracovnú ponuku od spoločnosti Coinbase. ESET tiež zaznamenal, že malvér z rodiny Konni používal techniku, ktorú v minulosti používala skupina Lazarus – skompromitovanú verziu PDF prehliadača Sumatra.

Čína: SparklingGoblin a MirrorFace

Mimoriadne aktívne boli aj skupiny napojené na Čínu, pričom využívali viaceré zraniteľnosti a predtým nezdokumentované backdoory. ESET napríklad identifikoval nový variant backdooru pre Linux použitý skupinou SparklingGoblin proti univerzite v Hongkongu.

Tá istá skupina zneužila Confluence zraniteľnosť pri útoku na potravinársku spoločnosť v Nemecku a strojársku spoločnosť so sídlom v USA. Výskumníci spoločnosti majú tiež podozrenie, že zraniteľnosť ManageEngine ADSelfService Plus bola za skompromitovaním amerického dodávateľa obranných technológií, ktorého systémy boli narušené iba dva dni po verejnom odhalení zraniteľnosti.

V Japonsku zase zaznamenali výskumníci niekoľko kampaní skupiny MirrorFace, pričom jedna sa týkala priamo volieb do hornej komory japonského parlamentu.

Irán: Polonium, Agrius a MuddyWater

Stále väčší počet skupín napojených na Irán sa zameriava najmä na izraelské ciele. Výskumníkom sa podarilo pripísať kampaň zacielenú na desiatku organizácií v Izraeli skupine POLONIUM, pričom identifikovali niekoľko dovtedy nezdokumentovaných backdoorov.

Skupina Agrius sa zas podľa všetkého v rámci útoku na dodávateľský reťazec zneužívajúci izraelské softvéry zamerala na organizácie v Južnej Afrike, Hongkongu a Izraeli pôsobiace v diamantovom priemysle. Počas inej kampane v Izraeli zase výskumníci pozorovali možný prienik v používaní nástrojov skupinami MuddyWater a APT35.

Odhalili novú verziu Android malvéru s obmedzenými špionážnymi funkciami, ktorý bol použitý v kampani skupiny APT-C-50 group a rozšírený cez falošnú iránsku stránku na prekladanie.