ESET Research: Folytatják kibertámadásaikat az orosz hackercsoportok Ukrajna ellen
2023.02.14.
Kiadta legfrissebb APT Activity Report jelentését az ESET Research. A riport a vírusvédelmi megoldásairól ismert ESET kutatóinak felfedezéseit tartalmazza az Advanced Persistent Threat (APT), vagyis a fejlett és tartós fenyegetést jelentő szervezett csoportok tevékenységét illetően, a 2022 szeptemberétől december végéig tartó időszakban. Az Oroszországhoz köthető APT-csoportok a vizsgált időszakban folytatták kibertámadásaikat Ukrajna ellen, törlőprogramok és zsarolóvírusok felhasználásával. Eközben a Kínával kapcsolatban álló Mustang Panda egyre nagyobb érdeklődést mutat az európai országok iránt, míg az Iránnal összefüggésbe hozható csoportok szintén folytatták intenzív tevékenységüket.
Az ESET kutatói észlelték Ukrajnában a hírhedt Sandworm csoport tevékenységét, amely egy korábban nem ismert törlőprogramot vetett be egy energiaipari vállalat ellen. A támadás tavaly októberben történt, ugyanabban az időszakban, amikor az orosz fegyveres erők csapást mértek az ukrán energetikai infrastruktúrára. Fontos megemlíteni, hogy gyakran államilag támogatott szereplők működtetnek APT-csoportokat. Bár az ESET-nek nincs bizonyítéka arra vonatkozóan, hogy összehangolt támadásokról van szó, a történtek alapján feltételezhető, hogy a Sandworm és az orosz katonai erők céljai összefüggenek.
Az orosz-ukrán háború kezdete óta Magyarországon is megnőtt a kibertámadások száma. Hogy hogyan lehet a veszélyhelyzetekre felkészülni, miként tudjuk kivédeni, hogy támadások áldozataivá váljunk, erről is szól az ESET IT-biztonsági podcastja, a Hackfelmetszők – Veled is megtörténhet! Az adásokban kiberbiztonsági szakértőink beszélgetnek a legelterjedtebb csalásformákról, adataink védelméről.
Az ESET NikoWipernek nevezte el azt a legutóbb felfedezett törlőprogramot, amely egy már ismert kártékony szoftvercsoporthoz tartozik. A programot 2022 októberében használták egy ukrajnai energiaipari vállalat ellen. A NikoWiper a Microsoft által kifejlesztett SDelete segédprogramon alapul, amely a fájlok biztonságos törlését teszi lehetővé.
Az ESET a kártékony adattörlő programok mellett olyan Sandworm-támadásokat is felfedezett, amelyek során zsarolóprogramokat használtak az adatok törlésére. Ezek esetében a végső cél ugyanaz volt: az adatok megsemmisítése. A hagyományos zsarolóvírus-támadásokkal ellentétben egyébként a Sandworm üzemeltetői nem adnak visszafejtő kulcsot még váltságdíj fejében sem.
Az ESET 2022 októberében azonosította a Prestige zsarolóvírust, amelyet ukrajnai és lengyelországi logisztikai vállalatok ellen használtak. Ezt követően novemberben egy új, .NET-ben írt zsarolóprogramot fedeztek fel a kutatók, amelyet RansomBoggs-nak neveztek el. Az eredményekről az ESET Research nyilvánosan is beszámolt a Twitter-oldalán. A Sandworm mellett egyébként más orosz APT-csoportok, például a Callisto és a Gamaredon is folytatták az Ukrajna elleni célzott adathalász támadásaikat, amelyek célja a hitelesítő adatok megszerzése és kártékony programok telepítése volt.
Az ESET kutatói egy másik, MirrorFace elnevezésű célzott adathalász támadást is észleltek, amelynek célpontjai japán politikai szervezetek voltak. A jelentés szerint emellett a Kínához köthető csoportok elkezdtek új áldozatokat keresni – a Mustang Panda csoport például egyre nagyobb érdeklődést mutat az európai országok iránt. Vélhetően ez a csoport hajtott végre kibertámadást tavaly szeptemberben egy svájci energetikai és mérnöki ágazatban működő szervezetnél, a Korplug kártékony program telepítésével. A szintén kínai Goblin Panda tavaly novemberben egy TurboSlate elnevezésű backdoor (hátsó ajtó) programmal próbált meg bejutni egy európai uniós kormányzati szervezet tűzfalai mögé.
Az Iránhoz köthető hackercsoportok is folytatták a támadásokat – a POLONIUM például az izraeli vállalatok mellett a zsidó államban bejegyzett cégek leányvállalatait is célba vette, a MuddyWater pedig egy biztonsági szolgáltató ellen intézhetett támadást.
Az Észak-Koreával kapcsolatban álló csoportok hibákat kihasználó exploitokat használtak a világ különböző részein kriptopénzzel foglalkozó cégek és tőzsdék ellen. Érdekes módon a Konni csoport a megtévesztő dokumentumaiban használt nyelvek repertoárját kibővítette az angollal, vagyis nem csupán a megszokott orosz és dél-koreai célpontokat vette célba.
Összességében azt láthatjuk, hogy a világ minden térségében aktívak a különféle motivációkkal rendelkező APT kibertámadói csoportok, így a cégek, vállalatok fontos feladata az ellenük való védekezés és megelőzés megerősítése.
További információk az ESET APT Activity Reportban olvashatók, valamint hallgassák meg az ESET IT-biztonsági podcastjének epizódjait.