Ruskí hackeri znova udreli. Tieto útoky sa líšili od iných. Boli viac prepracované a cielenejšie. Útoky ukazujú nové záujmy Ruska
Bezpečnostní experti odhalili útoky, ktoré sa líšia od tradičných útokov proruských hackerov.
Bezpečnostní experti z Mandiant odhalili útoky smerované na nemecké politické strany. Za útokmi stojí hackerská skupina APT29, známa aj ako Cozy Bear. Ide o skupinu s väzbami na ruskú zahraničnú spravodajskú službu.
Útoky na nemecké politické strany prebehli počas februára tohto roka, pričom hackeri používali dropper ROOTSAW, ktorý do zariadenia dostali cez zadné dvierka WINELOADER. Útoky boli konzistentné s tým, ako operujú hackeri z Cozy Bear. Bezpečnostní experti ale postrehli, že nové útoky sa trochu odlišujú od tradičného modus operandi týchto hackerov.
Cozy Bear typicky svoje phishingové útoky cieli na vládne subjekty, zahraničné ambasády či iné diplomatické inštitúcie. Februárové útoky sú prvýkrát, čo Cozy Bear cielil na politické strany. Ďalší rozdiel je, že hoci Cozy Bear už v minulosti používala falošné dokumenty s logom vládnych inštitúcií, pri najnovších útokoch používali po prvýkrát dokumenty v nemeckom jazyku. Bezpečnostní experti sa domnievajú, že použitie dokumentov v nemeckom jazyku odzrkadľuje nový typ útoku. Predtým cielili hackeri na medzinárodné záležitosti, teraz útočili na tie domáce.
Na politické strany útočili hackeri opäť pomocou phishingových e-mailov. Tentokrát išlo o pozvánku na recepciu, ktorá sa mala uskutočniť 1. marca. Falošné e-maily niesli dokument s logom Kresťanskej demokratickej únie, jednej z hlavných politických strán v Nemecku. V dokumente sa nachádzal phishingový link, ktorý ich doviedol k infikovanému ZIP súboru.
Ohrozené sú aj ďalšie krajiny
V infikovanom súbore sa nachádzal dropper ROOTSAW, ktorý obete cez druhý falošný dokument doviedol k malvéru WINELOADER. Tento malvér bezpečnostní experti po prvýkrát pozorovali koncom januára 2024. V tomto období cielil na diplomatické subjekty v Česku, Nemecku, Indii, Taliansku, Lotyšsku a Peru.
Neprehliadnite
WINELOADER je takzvaný backdoor malvér, ktorý hackerom umožňuje prístup do napadnutého zariadenia. Tento malvér má funkcie odkazujúce na iný škodlivý softvér používaný hackermi z Cozy Bear.
Nové útoky ukazujú, že ruská zahraničná spravodajská služba má záujem nahliadnuť do politických strán. Bezpečnostní experti vysvetľujú, že taktiky proruských hackerov sú mimoriadne adaptívne a neustále sa vyvíjajú v súlade s geopolitickou situáciou Ruska. Zároveň sa objavuje podozrenie, že hackeri z Cozy Bear nemajú záujem len o nemecké politické strany. Predpokladá sa, že v budúcnosti hackerská skupina vykoná útoky aj na iné politické strany z ďalších krajín. V tomto prípade nie je vylúčené, že sa obeťou stane aj Slovensko.
Bezpečnostní experti sa domnievajú, že Moskva má momentálne veľký záujem o pochopenie meniacej sa politickej dynamiky západných štátov, čo sa viaže na situáciu na Ukrajine. Hackerská skupina Cozy Bear môže v budúcnosti popri tradičných phishingových útokoch zvoliť aj menej sofistikované formy útoku. Na získanie prístupu do siete môžu využiť napríklad hrubé prelomenie hesiel.
Komentáre