toggle menu

ESET: Kyberkriminální skupiny napojené na Rusko zůstávají mimořádně aktivní

ESET: Kyberkriminální skupiny napojené na Rusko zůstávají mimořádně aktivní
22.12.2022 Kybernetická rizika, Technologie

Specialisté společnosti ESET sledují setrvalou aktivitu tzv. APT skupin, tedy různými státy sponzorovaných kybernetických útočníků, kteří se pokročilými technikami snaží získat data konkrétních cílů za účelem kyberšpionáže. Mezi ty nejaktivnější patří skupiny spojované s Ruskem, Čínou, Íránem a Severní Koreou. Dokládají to zjištění z nové zprávy ESET APT Activity Report, která mapuje období od května do srpna 2022. Ta potvrzuje, že Ukrajina je i nadále hlavním cílem APT skupin napojených na Rusko, jako je nechvalně známá skupina Sandworm, nebo také skupiny Gamaredon, InvisiMole, Callisto a Turla. Skupiny napojené na Severní Koreu se nadále s velkým zájmem zaměřují na letecký a obranný průmysl nebo na finanční a kryptoměnové společnosti a burzy.

„Jednou z aktivit, kterou jsme ve sledovaném období zaznamenali u několika skupin napojených na Rusko, bylo zneužití ruské multiplatformní komunikační služby Telegram k přístupu na C&C servery nebo jako nástroj k úniku informací. Útočníci z jiných regionů se také snažili získat přístup do ukrajinských organizací, a to jak za účelem kybernetické špionáže, tak krádeže duševního vlastnictví,“ upřesňuje Robert Šuman, vedoucí pražského výzkumného oddělení společnosti ESET.

Mohlo by vás zajímat: Alena Macková: Málokterý spotřebitel nechce být pojištěn

Skupiny napojené na Severní Koreu a Čínu nepolevují ve svých aktivitách

„Letecký a obranný průmysl je i nadále předmětem zájmu severokorejských skupin. Skupina Lazarus se například zaměřila na zaměstnance letecké společnosti v Nizozemsku. Odhalili jsme, že skupina zneužila zranitelnost v legitimním ovladači Dell k infiltraci do společnosti a domníváme se, že se jedná o vůbec první zaznamenané reálné zneužití této zranitelnosti,“ pokračuje Šuman.

Finanční instituce a subjekty pracující s kryptoměnami se také staly cílem kampaní severokorejských skupin, a to konkrétně skupin Kimsuky a Lazarus. Jedna z kampaní, kterou experti společnosti ESET nazvali Operace In(ter)ception, se odklonila od obvyklých cílů z oblasti leteckého a obranného průmyslu. Útočníci se v tomto případě zaměřili na jedince z Argentiny, kterému nastrčili malware maskovaný za nabídku práce ve společnosti Coinbase. ESET také zaznamenal skupinu Konni využívající techniku, kterou v minulosti používala skupina Lazarus – kompromitovanou verzi PDF prohlížeče Sumatra.

Mimořádně aktivní byly i skupiny napojené na Čínu, které využívaly různé zranitelnosti a dosud nezaznamenané backdoory (tzv. zadní vrátka). ESET například identifikoval novou variantu backdooru pro Linux, kterou použila skupina SparklingGoblin proti univerzitě v Hongkongu. Stejná skupina využila zranitelnost Confluence k útoku na potravinářskou společnost v Německu a strojírenskou společnost se sídlem v USA. ESET má také podezření, že zranitelnost ManageEngine ADSelfService Plus stála za kompromitací amerického dodavatele obranných technologií, jehož systémy byly narušeny pouhé dva dny po zveřejnění zranitelnosti. V Japonsku společnost ESET identifikovala několik kampaní MirrorFace, z nichž jedna přímo souvisela s volbami do horní komory japonského parlamentu.

Mohlo by vás zajímat: 3Q 2022: MAPFRE vykázala celkové pojistné +12,1 %. Jak si vede CAA?

Íránské skupiny se zaměřují na Izrael a Blízký východ, zároveň monitorují své vlastní občany

Rostoucí počet skupin napojených na Írán se nadále zaměřoval především na izraelské cíle. Výzkumným analytikům společnosti ESET se podařilo přiřadit kampaň zaměřenou na desítku organizací v Izraeli skupině POLONIUM a identifikovat několik dosud nezdokumentovaných backdoorů. Skupina Agrius se podle všeho zase v rámci útoku na dodavatelský řetězec, v rámci kterého zneužila izraelský softwarový balík, zaměřovala na organizace v Jihoafrické republice, Hongkongu a Izraeli, které působí v diamantovém průmyslu. V další útočné kampani v Izraeli experti pozorovali možný průnik v použití nástrojů skupinami MuddyWater a APT35. ESET také objevil novou verzi malwaru pro Android s omezenými špionážními funkcemi, která byla použitá v kampani vedené skupinou APT-C-50 a distribuována falešnou íránskou webovou stránkou s překlady.

„Připsat útok konkrétní skupině, o které víme, že je navíc napojena na konkrétní stát, je vždy velmi komplikované. Kybernetické útoky zpravidla nerespektují státní hranice a snahou útočníků je udělat všechno proto, aby útok nešlo zpětně vystopovat a vyšetřit,“ vysvětluje Šuman. „Na druhou stranu jsou tady útočné skupiny, o jejichž aktivitách máme díky našemu dlouholetému výzkumu již mnoho informací. A právě na ně se v našich pravidelných zprávách nyní zaměříme,“ dodává Šuman z ESETu.

Adware byl v listopadu rizikem pro fanoušky mobilních her včetně dětí

Adware Andreed, který se stal v letošním roce dominantním škodlivým kódem pro platformu Android v České republice, se v listopadu opět držel v čele pravidelné statistiky měsíčních hrozeb. Tentokrát ho bezpečnostní specialisté objevili v pětině všech případů. V porovnání s předchozími měsíci se tak jedná o první mírný pokles v počtu jeho detekcí.

„Jak adware Andreed, tak druhý nejčastější škodlivý kód, adware Hiddad, byly tentokrát zacíleny na fanoušky mobilních her. Útočníci jejich prostřednictvím míří na uživatele všech věkových kategorií, i na ty nejmladší. V případě adwaru Hiddad jsme viděli, jak zneužívají k jeho šíření hru podobnou velmi populární hře Minecraft, která je oblíbená mezi dětmi. Také další hry, které jsme v těchto kampaních zachytili, jsou určeny především pro mladší publikum. Je to velmi běžná strategie, kterou útočníci vždy využívají před většími svátky a prázdninami – vědí, že uživatelé budou trávit více svého volného času online,“ říká Martin Jirkal, vedoucí analytického týmu v pražské pobočce společnosti ESET. atímco útočné kampaně adwaru Andreed zachytili bezpečnostní experti v prostředku měsíce, Hiddad využili útočníci především ve dnech 13. a 27. listopadu.

Mohlo by vás zajímat: 3Q 2022: UnitedHealth Group má čistý zisk + 28,6 %. Kaiser ve ztrátě

Adware je aktuálně nejběžnější hrozbou v Česku

Nevyžádaná reklama se stala v letošním roce nejběžnější moderní hrozbou pro zařízení s operačním systémem Android. Jako typ škodlivého kódu tak zcela zastínila například dříve aktivní stalkerware či bankovní malware. „Mezi hrozby v podobě nevyžádané reklamy patří celá řada škodlivých kódů s různou mírou rizikovosti pro operační systém zařízení a uživatelská data. V Česku je adware Andreed rozšíření právě kvůli tomu, že není tolik invazivní jako jiné hrozby a uživatelé mu nemusí věnovat takovou pozornost,“ říká Jirkal.

Adware ale také často funguje jako prostředník pro šíření daleko závažnějšího malwaru. Takovými typy jsou například downloadery, které v okamžiku, kdy je vpustíme do zařízení, začnou stahovat další adware či jiné škodlivé kódy. Zařízení pak mohou reklamou zcela zahltit a pokud uživatel na nějaké vyskakovací reklamní okno klikne, může být přesměrován na podvodnou webovou stránku. 

Mohlo by vás zajímat: Igor Rusinowski z UNILINK: INSIA nám pomůže být #1 mezi evropskými distributory

Hra zdarma jako návnada

Důvodem rozšíření a popularity adwaru u útočníků je jeho úspěšnost. Bezpečnostní specialisté tak nadále varují, aby uživatelé nestahovali hry a jiné programy z neoficiálních obchodů s aplikacemi či veřejných internetových úložišť. Konkrétně na internetová úložiště se v posledních měsících zaměřují útočníci škodlivým kódem Agent.KEQ, který na sebe bere podobu aplikace pro stahování obsahu s názvem Your File Is Ready To Download.apk.

„Internetová úložiště a neoficiální obchody s aplikacemi jsou pro uživatele lákadlem – mohou na nich sehnat populární a trendy hry zdarma nebo ve výhodných balících s dalšími programy. Často se nicméně nejedná o oficiální aplikace, ale o jejich různě upravené verze, které sice mohou v nějaké míře nebo zcela fungovat, ale jako bonus obsahují škodlivý kód. Tato strategie o to víc míří na děti, které budou spíše hledat cesty, jak oblíbenou hru získat bez finančních výdajů, nebo spíše nebudou věnovat pozornost tomu, odkud ji získají. V aktuálním období, kdy se blíží vánoční prázdniny a děti budou víc doma, bych tak doporučoval vysvětlit jim v základu a jednoduchou formou rizika, na která mohou na internetu narazit,“ dodává Jirkal z ESETu.

Nejčastější kybernetické hrozby v České republice pro platformu Android za listopad 2022:

  1. Android/Andreed trojan (21,25 %)
  2. Android/Hiddad.AYF trojan (13,86 %)
  3. Android/TrojanDropper.Agent.KEQ trojan (9,79 %)
  4. Android/TrojanDropper.Agent.JDU trojan (4,02 %)
  5. Android/Hiddad.AXJ trojan (2,86 %)
  6. Android/Triada trojan (2,36 %)
  7. Android/TrojanDropper.Agent.KMZ trojan (2,01 %)
  8. Android/Hiddad.AZJ trojan (1,86 %)
  9. Android/TrojanDropper.Agent.GKW trojan (1,86 %)
  10. Android/Spy.Cerberus trojan (1,61 %)
Zdroj: ESET

Sledujte nás

Facebook Twitter LinkedIn

Komentáře

Přidat komentář

Nejsou žádné komentáře.

RSS

Související články

Teplota se zvyšuje o třetinu stupně za deset let
ESET: Ve třetině případů zůstal v listopadu rizikem spyware
Dvě třetiny malých a středních firem se setkaly s únikem dat
ČBA: Desetina Čechů se zadlužuje rizikově
ESET: V říjnu šířily spyware falešné faktury
Nahoru