Ukradli ruskí hackeri nástroje inej skupine? Microsoft približuje neobvyklý prípad na Ukrajine

Bezpečnostní experti z Microsoftu monitorujú situáciu na Ukrajine a približujú neobvyklú hackerskú kampaň.

hacker rusko
Zdroj: JC Gellidon z Unsplash a Jaydeep Joshi z Pixabay, koláž Vosveteit.sk

Bezpečnostní analytici Microsoftu odhalili ďalšie špionážne aktivity, za ktoré môžu hackeri s väzbami na Rusko. Presnejšie ide o skupinu Secret Blizzard, ktorá používa nástroje a infraštruktúru na útoky voči ukrajinským cieľom.  

Aktivita hackerov viedla k stiahnutiu malvéru, ktorý vytvorili hackeri zo Secret Blizzard sami a tento malvér používa Tavdig zadné dvierka na to, aby inštaloval druhé zadné dvierka KazuarV2. Hackeri boli aktívni medzi marcom a aprílom tohto roka. V tomto období šírili vlastný malvér Amadey.  

Odoberaj Vosveteit.sk cez Telegram a prihlás sa k odberu správ

Hackeri útočili na špecifické zariadenia, ktoré fungovali v rámci ukrajinskej armády. Bezpečnostní analytici vysvetľujú, že to bolo najmenej druhýkrát od roku 2022, čo hackeri zo Secret Blizzard použili kyberzločineckú kampaň na to, aby sa dostali a udržali v počítačových sieťach na Ukrajine. Počas analýzy sa lepšie pozreli aj na iné zadné dvierka, ktoré hackeri zo Secret Blizzard použili v januári a ktoré pochádzajú od inej hackerskej skupiny. Tú Microsoft sleduje pod označením Storm-1837.  

ruski hackeri kyberneticke hrozby
Zdroj: vchal / shutterstock.com

Útočia na Ukrajine

Táto hackerská skupina sa zameriava na ukrajinských pilotov armádnych dronov. Bezpečnostní analytici vysvetľujú, že požičanie si malvéru od inej skupiny naznačuje, že Secret Blizzard chce útočiť s pomocou väčšieho množstva vektorov. Napriek tomu sa ale zdá, že najčastejšie hackeri zo Secret Blizzard útočia pomocou spearphishingu. 

“Ako sme už spomenuli, hackeri zo Secret Blizzard sú známy tým, že cielia na široké spektrum rôznych sektorov. Najčastejšie ich aktivitu vidíme v sieťach ministerstva zahraničných vecí, ambasád, vládnych kancelárií, obranných oddelení a svetových obranných spoločností. Secret Blizzard sa sústreďuje na získanie dlhodobého prístupu do systémov a následnú špionáž. Idú po informáciách, ktoré sa týkajú pokročilého výskumu alebo sú politicky dôležité,” vysvetľuje Microsoft.  

Aby sa hackeri dokázali udržať v systéme čo najdlhšie, vynakladajú na to podstatné množstvo zdrojov. Ich snahu zdôrazňuje aj použitie viacerých zadných dvierok. Spoločnosť Microsoft aktívne monitoruje hackerské kampane skupiny Secret Blizzard. Keď má spoločnosť príležitosť, promptne informuje svojich zákazníkov, ktorí môžu byť obeťami útokov alebo sa obeťami stali. Microsoft užívateľom poskytne potrebné informácie na zabezpečenie ich siete a zariadení.  

Infraštruktúra a prístup iných skupín k tejto infraštruktúre je neobvyklý, no nie je jedinečný. Znamená to ale, že ak sa užívateľ stane obeťou útoku Secret Blizzard, môže sa stať obeťou aj iných ruských hackerských skupín, ktoré napadnú zariadenie rovnakou metódou.  

Ako sme spomenuli na začiatku, kampaň hackerov zo Secret Blizzard bola aktívna od marca do apríla tohto roka. Počas kampane šírili vlastný malvér Amadey. Ide o botov, ktoré nastavia na kompromitovanom systéme zadné dvierka Tavdig. Aj niektoré iné hackerské skupiny využívali Amadey botov na infikovanie zariadení. V prípade týchto skupín bolo cieľom na infikované zariadenia nainštalovať cryptominer XMRIG, malvér, ktorý kradne výkon zariadenia na ťažbu kryptomien.

Rusko a kryptomeny
Zdroj: citypng.com, vosveteit.sk (koláž)

Microsoft hackerov naďalej monitoruje 

Predpokladá sa, že Secret Blizzard používa Amadey botov systémom “malvér-ako-služba”. Tento model znamená, že niekto skúsenejší vyvíja malvér a potom ho ďalej predáva kyberzločincom, ktorí nemajú buď čas, prostriedky alebo schopnosti na vývoj sofistikovaného malvéru. Až títo aktéri následne vykonávajú kyberútoky.  

Microsoft ale nemôže s istotou určiť, ako sa hackerská skupina dostala k Amadey botom ani k zadným dvierkam, ktoré používa iná hackerská skupina. Jednou z možností je, že hackeri malvér zakúpili, no zároveň existuje aj možnosť, že sa k infraštruktúre Amadey botov dostali útokom.  

Každopádne Secret Blizzard je zákernou hackerskou skupinou, ktorá útočí hlavne na dôležité vládne a vojenské ciele na Ukrajine. V napadnutých zariadeniach sa pokúša udržať dlhodobý prístup a ten využíva na to, aby kradla dôležité informácie. Spoločnosť Microsoft bude aj naďalej monitorovať túto hackerskú skupinu.  

Prihlás sa k odberu správ z Vosveteit.sk cez Google správy

Komentáre