Spravodajstvo

Na Ukrajinu útočí nová hackerská skupina. Využíva pritom pokročilú infraštruktúru. Nitky vedú do Ruska

Hackerská skupina napojená na Rusko a na Sandworm útočí na Ukrajinu. Využíva na to pokročilé techniky maskovania.

Vojnový konflikt u našich susedov z veľkej časti prebieha v kybernetickom svete. Rôzne útoky s cieľom vyradenia dôležitých systémov alebo špionáže sú na dennom poriadku. Potvrdzuje to aj správa z recordedfuture.com, ktorá informuje o hackerskej skupine UAC-0113. Táto skupina je spájaná so skupinou Sandworm, o ktorej je dlhšie známe prepojenie na ruskú vládu, konkrétne na Hlavné riaditeľstvo Generálneho štábu Ozbrojených síl Ruskej federácie. Na svojom konte má Sandworm množstvo útokov na Ukrajinu, kde napríklad využili chybu v populárnom operačnom systéme Windows, známu ako Follina.

Využitie pokročilej infraštruktúry

Skupina UAC-0113, ktorú ukrajinský tím pre núdzovú počítačovú reakciu (CERT-UA) spája so známou skupinou Sandworm, údajne stojí za nedávnou škodlivou aktivitou. Recorder Future totiž zaznamenali neustály nárast útokov typu C2, ktorý dlhodobo udržiava spojenie s napadnutým zariadením a postupne vydáva povely na uskutočnenie konkrétnych operácií. Zvýšený počet týchto útokov bol od augusta tohto roka. Hackerskej skupine sa pripisujú aj útoky na ukrajinskú energetickú infraštruktúru a nasadenia pretrvávajúceho botnetu s názvom „Cyclops Blink“. Pre tých, ktorí nevedia, tak malvér Cyclops Blink sa zameriava prevažne na smerovače a firewallové zariadenia od spoločnosti WatchGuard a ASUS.

Útoky zamerané na konkrétne osoby

Správa taktiež informuje o tom, ako hackerská skupina postupovala pri svojich útokoch. Opakovane boli využité dynamické DNS, ktoré sa maskovali za telekomunikačných poskytovateľov pôsobiacich na Ukrajine. Zameranie tak bolo skôr na určité osoby či skupiny osôb. Takýto druh útoku, pri ktorom sa útočník zameriava iba na vybrané osoby sa nazýva spear phishing. Škodlivé dáta sú do zariadenia obete pašované prostredníctvom HTML techniky, ktorá nasadzuje malvér Colibri Loader a Warzone RAT.

„Jedným z príkladov je doména „datagroup[.]ddns[.]net“, ktorú si v júni 2022 všimol CERT-UA a ktorá sa vydáva za online portál pre Datagroup, ukrajinského telekomunikačného operátora.“, upozorňujú analytici.

phishing
Zdroj: pixabay.com

To značí prechod od trójskeho koňa DarkCrystal, ktorý skupina UAC-0113 využívala už skôr počas tohto roka. Vtedy hackeri hľadali informácie o ukrajinskom vojenskom personáli v súvislosti s otázkami právnej pomoci. CERT-UA ale vtedy tvrdil, že útok bol pravdepodobne zameraný aj na poskytovateľov telekomunikačných služieb na Ukrajine. Tento malvér bol taktiež minimálne od roku 2018 dostupný na rôznych šedých fórach, čo z neho robí nástroj, o ktorý má záujem viacero aktérov hrozieb.

Na infiltrovanie sa do zariadenia obete boli využívané rôzne dokumenty, ktoré ale boli návnadami. Jeden zo súborov ISO napríklad obsahoval dokument napísaný v ukrajinčine, ktorý sa maskoval za žiadosť o zľavu na palivo. Takéto žiadosti mohli vyplniť obyvatelia v okrese Oleksandrinka v Donecku. Súbor ISO ale okrem iného obsahoval aj vyššie spomenuté škodlivé programy Colibri Loader a Warzone RAT.

Použitý malvér

Kombinácia malvérov Colibri Loader a Warzone RAT vôbec nie je náhodná. Prvý menovaný sa špecializuje na infiltrovanie do zariadenia obete, pričom je schopný inštalácie viacerých ďalších škodlivých programov. To všetko s využitím techník, ktoré sa účinne vyhýbajú odhaleniu. Warzone RAT sa na druhej strane špecializuje na celý proces vzdialeného prístupu. Známy je už od roku 2018 a na podozrivých stránkach si ho vie kúpiť prakticky ktokoľvek.

Aj tieto útoky ale poukazujú na trend ruských útokov, ktorých cieľom sú čoraz častejšie informácie, než tvrdé vyradenie dôležitého softvéru. Za zmenou stratégie Kremľa je najmä to, že vojna trvá oveľa dlhšie, než sa pôvodne očakávalo.

Tagy
Zobraziť komentáre
Close
Close