Rusi povolali kórejských hackerov, aby im pomohli položiť Ukrajinu na kolená
Rusko povolalo hackerov zo Severnej Kórei, aby zaútočili na Ukrajinu a položili ju na kolená. Hackeri rozbehli masívny phishingový útok.
Bezpečnostní analytici informujú o novej hackerskej kampani skupiny TA406, ktorá sa zameriava na Ukrajinu. Táto skupina pochádza zo Severnej Kórei a dôkazy naznačujú, že si ju najalo Rusko, aby mu hackeri pomohli v prebiehajúcom konflikte na Ukrajine.
Útoky hackerskej skupiny TA406 si všimli bezpečnostní analytici z Proofpoint. Vysvetľujú, že táto hackerská skupina je známa aj pod menami Opal Sleet alebo Konni. V rámci útokov sa vydávajú za členov ukrajinských think tankov a touto cestou sa pokúšajú presvedčiť obete, aby klikli na phishingové emaily.
Emaily sa snažia imitovať nedávne diania v ukrajinskej vnútroštátnej politike. Hackeri do podvodných správ vkladajú falošné HTML alebo CHM súbory, ktoré po otvorení spúšťajú nebezpečný PowerShell skript. Túto taktiku používajú najmenej od roku 2019. V rámci najnovších útokov, ktoré pozorovali experti od februára tohto roku, sa hackeri vydávajú za falošného staršieho člena think tanku s názvom Royal Institute of Strategic Studies, čo je taktiež falošná organizácia.
Takto prebieha útok
V phishingovom maile obeť útoku nachádza odkaz na hosting službu MEGA. Cez ňu sťahuje zaheslovaný RAR archív. Po otvorení súboru sa spúšťa PowerShell skript, ktorý získa citlivé informácie o zariadení obete. Ak sa obeť počiatočným phishingom nedá nachytať, útočníci v nadchádzajúcich dňoch pošlú ešte niekoľko phishingových správ. Tie sú štruktúrou rovnaké, no v ďalších správach sa hackeri pýtajú, či obeť nedostala prvú phishingovú správu. Stále sa vydávajú za falošný think tank, čím sa pravdepodobne pokúšajú vzbudiť pocit, že ide o skutočne legitímny e-mail.
V RAR súbore s názvom “Analytical Report.rar” sa nachádza CHM súbor s rovnakým názvom. V tomto súbore sa nachádza niekoľko HTML súborov, ktoré sú nazvané podľa najnovších politických dianí. Všetky HTML súbory sa tvária, že pochádzajú od ukrajinského vojenského lídra menom Valeriy Zaluzhnyi. Po otvorení HTML súboru sa spúšťa škodlivý PowerShell skript.
Neprehliadni
Po získaní informácií o systéme obete malvér ešte skontroluje, či sa v zariadení obete nachádza antivírový program a ak áno, aký. Následne sa zariadenie obete spája s command and control serverom útočníka, z ktorého sa do infikovaného zariadenia inštaluje ďalší škodlivý kód. Tento kód sa uchytí v systéme tak, aby sa automaticky spúšťal aj po vypnutí a zapnutí počítača.
Bezpečnostní analytici usudzujú, že severokórejskí hackeri chcú s najväčšou pravdepodobnosťou získať prihlasovacie údaje od svojich obetí, ktoré pochádzajú z ukrajinskej vojenskej a politickej sféry. Viacerí užívatelia, ktorí sa stali obeťami útokov, hlásili, že krátko na to ich varoval Microsoft a iné služby ohľadom neobvyklej prihlasovacej aktivity.
Nová kampaň nesie známky predchádzajúcich útokov
Experti vysvetľujú, že modus operandi hackerov súhlasí s tým, ako vykonávala severokórejská skupina TA406 útoky v minulosti. Hoci ich vyšetrovanie poukazuje na túto hackerskú skupinu, jej účasť na tejto kampani nedokázali stopercentne potvrdiť. Severná Kórea však v minulosti niekoľkokrát pomáhala Rusku a je pravdepodobné, že si Rusko pri týchto útokoch požičalo hackerov od tejto krajiny.
Hackerská kampaň stále prebieha a podľa analytikov sa môže v budúcnosti vyvíjať. Uvidí sa však, či hackeri z TA406 uplatnia iné taktiky a ak áno, ako budú útoky vyzerať. Rovnako sa môže stať, že hackeri začnú útočiť aj na iné krajiny, ktoré vyjadrujú podporu Ukrajine. V minulosti proruské hackerské skupiny volili práve túto taktiku. Obeťou útoku sa opakovane stávalo aj Slovensko.
Ruskí hackeri vyčíňali naposledy koncom minulého mesiaca, v apríli. Ich útoky sa zameriavali na sabotáž kritických infraštruktúr. Odborníci vysvetľujú, že cieľom ruských hackerov je destabilizovať súdržnosť a ohroziť národnú bezpečnosť v celej Európe. Viac sa o tomto konkrétnom útoku môžeš dočítať v našom článku.
Komentáre