Google odhalil ruských hackerov, ktorí útočili na vládne a iné webové stránky, a ukázal, ako útok prebiehal
Google odkryl útoky skupiny hackerov APT29 (tiež známej aj ako CozyBear), ktorá pôsobí pod Russia's Foreign Intelligence Service (SVR). Išli hlavne po prihlasovacích údajoch od rôznych online služieb.
Nie je žiadnym tajomstvom, že vlády po celom svete majú svoje vlastné tímy hackerov, ktoré vykonávajú rôzne úlohy. Po tom, ako Rusko napadlo Ukrajinu, tak svet (bez ohľadu na región) zasiahla dovtedy nevídaná aktivita hackerských útokov. Nie je žiadnym tajomstvom, že krajiny ako Rusko, majú pod svojimi krídlami tímy špecialistov, ktoré patria medzi špičku.
Najnovšie spoločnosť Google (Google’s Threat Analysis Group / TAG) zverejnila report, v ktorom približuje útoky známej skupiny hackerov APT29 (tiež známej aj ako CozyBear), o ktorej vieme, že pôsobí pod Russia’s Foreign Intelligence Service (SVR), ako útočila na rôzne vládne stránky cudzích krajín.
Hackeri z APT29 znova udreli
APT29 zneužíval viacero bezpečnostných chýb na to, aby sa dostala do systémov organizácií a zariadení obetí s cieľom získať citlivé údaje. Napríklad sa útočníkom podarilo infikovať weby ako cabinet.gov[.]mn and mfa.gov[.]mn a ďalšie.
Hackeri konkrétne zneužívali, resp. ešte zneužívajú chyby ako napríklad CVE-2023-41993, CVE-2024-5274, CVE-2024-4671 a ďalšie. Prostredníctvom nich sa vedia dostať napríklad do telefónov iPhone s iOS vo verzii 16.6.1 alebo staršou. Hlavným cieľom útočníkov je krádež súborov cookie zo zariadení obetí, ktoré následne zneužívali.
V ohrození boli ale aj používatelia Android smartfónov. Útočníci používali pritom sériu úloh, ktoré vykonával vložený script do infikovaných stránok. Škodlivý kód do stránok najčastejšie vkladali cez infikovaný iframe súbor. Pre tých, ktorí nevedia, tak iframe umožňuje vložiť do stránky obsah z iného webu. Cez tento kód načítali javascript v zariadení obete, cez ktorý sa dostali do ich telefónov. Následne, ako sa im podarilo extrahovať súbory, tak tie útočníci uložili na vzdialených serverov, ktoré mali pod kontrolou, hovorí Google.
Neprehliadni
Po týchto informáciách išli hackeri
Ako sme v úvode spomínali, tak ruskí hackeri išli hlavne po cookie súboroch. Ide o dáta z prehliadania stránok. Útočníci sa snažili získať napríklad prihlasovacie údaje z webov „webmail.mfa.gov.mn/owa/auth“, „accounts.google.com“, „login.microsoftonline.com“, „mail.google.com/mail/mu/0“, „www.linkedin.com“, „linkedin.com“, „www.office.com“, „login.live.com“, „outlook.live.com“, „login.yahoo.com“, „mail.yahoo.com“, „facebook.com“, „github.com“ či „icloud.com“.
Inými slovami, ide o služby, cez ktoré často ľudia zdieľajú citlivé údaje, resp. k tomuto typu údajov pristupujú. Okrem toho útočníci zbierali aj ďalšie informácie, napríklad zoznam navštívených stránok, podrobností o účtoch zo služieb, trust tokeny (ide o alternatívu ku cookie súborom) a ďalšie.
V súčasnosti chyby, ktoré hackeri zneužívali na to, aby sa dostali do zariadení obetí, sú opravené. Treba ale zároveň doplniť, že je potrebné mať aj aktualizovaný softvér vo svojich mobiloch či iných zariadeniach.
Komentáre