- ESET začína s vydávaním novej správy ESET APT Activity Report, jej prvé vydanie pokrýva obdobie od mája do augusta 2022 (T2 2022).
- Ukrajina je aj naďalej primárnym cieľom skupín spájaných s Ruskom.
- Letecký a obranný priemysel zostávajú v hľadáčiku skupín spájaných so Severnou Kóreou, spolu s finančnými firmami a spoločnosťami zaoberajúcimi sa kryptomenami.
- Skupiny spájané s Čínou dokázali zneužiť viaceré zraniteľnosti a doteraz nezaznamenané backdoory.
- Stále väčší počet skupín spájaných s Iránom sa zameriava najmä na izraelské ciele.
- Útočníci zneužili ruskú multiplatformovú službu Telegram na prístup k riadiacim serverom a únik dát.
Po vzore renomovanej správy o kybernetickej bezpečnosti ESET Threat Report vydávajú výskumníci spoločnosti ESET aj ESET APT Activity Report. Cieľom tejto správy je ponúknuť pravidelný prehľad o zisteniach výskumníkov spoločnosti ESET týkajúcich sa aktivity skupín zameraných na pokročilé pretrvávajúce hrozby (Advanced Persistent Threat - APT). Prvé vydanie mapuje obdobie od mája do augusta tohto roka. Výskumníci spoločnosti ESET v rámci tejto doby nezaznamenali zníženie aktivity skupín napojených na Rusko, Čínu, Irán a Severnú Kóreu. Aj pol roka po ruskej invázii zostáva Ukrajina hlavným cieľom APT skupín napojených na Rusko, ako napríklad neslávne známej Sandworm, ale aj Gamaredon, InvisiMole, Callisto a Turla. Pre Severnú Kóreu predstavujú najlákavejšie ciele finančné spoločnosti a firmy pôsobiace vo sfére kryptomien.
„Počas sledovaného obdobia sme zaznamenali, že niektoré skupiny napojené na Rusko využili ruskú multiplatformovú službu Telegram na prístup k riadiacim serverom, alebo ako nástroj na únik informácií. Útočníci z ostatných regiónov sa takisto snažili získať prístup do ukrajinských organizácií za účelmi kybernetickej špionáže aj krádeže intelektuálneho vlastníctva,“ vysvetľuje Jean-Ian Boutin, riaditeľ ESET Threat Research.
„Letecký a obranný priemysel predstavuje zaujímavý cieľ pre skupiny napojené na Severnú Kóreu. Skupina Lazarus napríklad zaútočila na zamestnanca leteckej spoločnosti v Holandsku. Odhalili sme, že skupina zneužila na infiltráciu do spoločnosti zraniteľnosť v legitímnom Dell ovládači. Podľa našich zistení išlo o prvý zaznamenaný prípad v reálnom prostredí,“ pokračuje Jean-Ian Boutin.
Finančné inštitúcie a spoločnosti zaoberajúce sa kryptomenami boli terčami skupiny Kimsuky a dvoch kampaní skupiny Lazarus. Jedna z týchto kampaní, ktorú ESET pomenoval ako Operácia In(ter)ception, sa vymykala zvyčajným cieľom, medzi ktoré patria letecké a obranné spoločnosti. Útočníci sa v tomto prípade zamerali na osobu z Argentíny, ktorej nasadili malvér prestrojený za pracovnú ponuku od spoločnosti Coinbase. ESET tiež zaznamenal, že malvér z rodiny Konni používal techniku, ktorú v minulosti používala skupina Lazarus – skompromitovanú verziu PDF prehliadača Sumatra.
Mimoriadne aktívne boli aj skupiny napojené na Čínu, pričom využívali viaceré zraniteľnosti a predtým nezdokumentované backdoory. ESET napríklad identifikoval nový variant backdooru pre Linux použitý skupinou SparklingGoblin proti univerzite v Hongkongu. Tá istá skupina zneužila Confluence zraniteľnosť pri útoku na potravinársku spoločnosť v Nemecku a strojársku spoločnosť so sídlom v USA. Výskumníci spoločnosti ESET majú tiež podozrenie, že zraniteľnosť ManageEngine ADSelfService Plus bola za skompromitovaním amerického dodávateľa obranných technológií, ktorého systémy boli narušené iba dva dni po verejnom odhalení zraniteľnosti. V Japonsku zaznamenali výskumníci spoločnosti ESET niekoľko kampaní skupiny MirrorFace, pričom jedna sa týkala priamo volieb do hornej komory japonského parlamentu.
Stále väčší počet skupín napojených na Irán sa zameriava najmä na izraelské ciele. Výskumníkom spoločnosti ESET sa podarilo pripísať kampaň zacielenú na desiatku organizácií v Izraeli skupine POLONIUM, pričom identifikovali niekoľko dovtedy nezdokumentovaných backdoorov. Skupina Agrius sa zas podľa všetkého v rámci útoku na dodávateľský reťazec zneužívajúci izraelské softvéry zamerala na organizácie v Južnej Afrike, Hongkongu a Izraeli pôsobiace v diamantovom priemysle. Počas inej kampane v Izraeli zas výskumníci pozorovali možný prienik v používaní nástrojov skupinami MuddyWater a APT35. ESET tiež odhalil novú verziu Android malvéru s obmedzenými špionážnymi funkciami, ktorý bol použitý v kampani skupiny APT-C-50 group a rozšírený cez falošnú iránsku stránku na prekladanie.
Celú správu ESET APT Activity Report s bližšími technickými informáciami nájdete na tomto odkaze. Najnovšie odhalenia výskumníkov spoločnosti ESET nájdete na Twitteri ESET research.
O spoločnosti ESET
Už viac ako 30 rokov vyvíja spoločnosť ESET popredný softvér a služby zamerané na IT bezpečnosť a ochranu podnikov, kritickej infraštruktúry a domácností z celého sveta pred čoraz sofistikovanejšími digitálnymi hrozbami. V rámci širokej škály riešení určených pre koncové a mobilné zariadenia až po šifrovanie a dvojúrovňové overovanie prináša ESET svojim zákazníkom vysokovýkonné a zároveň jednoducho použiteľné produkty, ktoré chránia bez zbytočného rušenia 24 hodín denne, pričom ochranné mechanizmy sa aktualizujú v reálnom čase, aby boli používatelia vždy v bezpečí a firemná prevádzka mohla fungovať bez prerušení. Keďže hrozby sa neustále vyvíjajú, na svojom vývoji musí pracovať aj IT bezpečnostná spoločnosť, ktorá chce napomáhať k bezpečnému používaniu technológií. Na tomto cieli a podpore lepšej spoločnej budúcnosti pracuje spoločnosť ESET prostredníctvom svojich centier výskumu a vývoja v rôznych kútoch sveta. Viac informácií nájdete na stránke www.eset.sk, prípadne nás môžete sledovať na sociálnych sieťach LinkedIn, Facebook a Twitter.