Ruskí hackeri z Cozy Bear zaútočili na Európsku úniu a jej diplomatov: V špionážnej kampani lákajú na „ochutnávku vín“
Bezpečnostní analytici upozorňujú na hackerskú kampaň, ktorá zasiahla Európsku úniu. Ruskí hackeri šíria známy a nebezpečný backdoor WINELOADER.
Bezpečnostní analytici z Check Point Research odhaľujú kampaň ruskej hackerskej skupiny, ktorá sa začala v januári tohto roka. Hackeri používajú malvér WINELOADER a GRAPELOADER a útočia po celej Európskej únii. Ich primárnym cieľom sú vládne organizácie a diplomati, no nepohrdnú ani všednejšími obeťami.
Za útokmi stojí hackerská skupina APT29, ktorá je známa aj ako Midnight Blizzard alebo Cozy Bear. Známa je tým, že útočí hlavne na vysokopostavené organizácie, vrátane think tankov a vládnych inštitúcií či iných organizácií. Kľudne môže ísť aj o pracovníkov spoločností, ktoré patria do kritickej infraštruktúry Na útoky používa celú radu rozličných stratégií, vrátane cieleného phishingu alebo supply chain útokov. Na útoky využívajú ako komerčne dostupný malvér, tak aj vlastný škodlivý softvér.
Obete lákajú na ochutnávku vín
V rámci najnovšieho útoku sa hackeri z Cozy Bear vydávali za európske Ministerstvo zahraničných vecí. Rôznym dôležitým cieľom následne posielali pozvánky na ochutnávku vín. V pozvánke bol zároveň pripojený škodlivý odkaz, na ktorý musela obeť útoku kliknúť. Keď tak urobila, do zariadenia si stiahla zadné dvierka, malvér GRAPELOADER.
Popri malvéri GRAPELOADER sa objavil v útokoch aj jeho variant WINELOADER.
“Takmer jeden rok po poslednej iterácii WINELOADER kampane hackeri z Cozy Bear spustili novú vlnu phishingových útokov. V rámci útokov sa vydávajú za európske Ministerstvo zahraničných vecí a v jeho mene rozposielajú pozvánky rôznym diplomatickým entitám. Pozvánky sú na ochutnávku vín. Po kliknutí na škodlivý odkaz v pozvánke sa nakoniec obeť útoku dostala na stránku, odkiaľ stiahla škodlivý GRAPELOADER malvér. Objavili sa ale aj prípady, kedy obeť reagovala rovnako, no namiesto toho ju útok presmeroval na oficiálnu stránku Ministerstva zahraničných vecí, bez stiahnutia malvéru,” vysvetľujú bezpečnostní analytici.
Hackeri zo skupiny Cozy Bear útočili na množstvo krajín v EÚ. Bezpečnostní experti zároveň odhalili aj to, že hackeri útočili aj na krajiny, ktoré síce nie sú v únii, no na jej území majú svoje diplomatické ambasády.
Neprehliadni
WINELOADER malvér sú známe modulárne zadné vrátka. Znamená to, že hackeri sa dokážu dostať do systému, kde si vytvoria priestor pre opakované návštevy. Keďže ide o modulárny malvér, hackeri ho môžu veľmi rýchlo prispôsobiť rôznym podmienkam. WINELOADER sa najčastejšie používa na vytvorenie prístupu do infikovaného zariadenia a následné stiahnutie ďalšieho malvéru.
Môžeme predpokladať, že cieľom hackerskej skupiny Cozy Bear je kyberšpionáž. Hackeri útočia na vládne organizácie a diplomatické entity po celej Európe, aby získali informácie o dianí v únii.
Ruskí hackeri pravidelne terorizujú Európu
Vo februári sa objavili správy o masívnej dezinformačnej kampani, ktorú spravovali práve proruské hackerské skupiny. Predpokladá sa, že kyberzločinci chceli v ľuďoch vyvolať negatívny pohľad na európske hodnoty a vybudovať v ľuďoch nenávisť voči Európskej únii a možno aj podnietiť otázky ohľadom členstva v EÚ. V tej dobe v Moldavsku vládla proeurópska strana, no hackeri sa snažili, aby sa k moci dostala strana s proruskejším názorom.
Hackeri pochádzajú zo skupiny Lying Pigeon, ktorá je známa svojimi dezinformačnými kampaňami, ktoré sa odohrávali po celej Európe. Hackeri popri dezinformačných príspevkoch rozposielali falošné e-mailové správy a dokumenty. Okrem ovplyvňovania mienky s najväčšou pravdepodobnosťou chceli získať aj informácie a infikovať zariadenia užívateľov pre ďalšie malvérové útoky.
Zároveň na území Európy figuruje aj ďalšia hackerská skupina Water Gamayun. Tá zneužíva na svoje útoky slabinu existujúcu na počítačoch s operačným systémom Windows. Užívatelia by mali byť opatrní pri otváraní neznámych príloh v e-mailoch, najmä ak obsahujú .msi alebo .ppkg súbory. Zároveň je dôležité obmedziť používanie administrátorských oprávnení a monitorovať neobvyklé aktivity v systéme. Vzhľadom na narastajúcu sofistikovanosť kybernetických hrozieb je nevyhnutné dôsledne dodržiavať bezpečnostné postupy. Zvýšená obozretnosť, pravidelné bezpečnostné kontroly a bezpečnostné nástroje môžu významne znížiť riziko kompromitácie systému. Ako tento útok prebieha približujeme v našom článku.
Komentáre