Ruské APT skupiny pokračujú v útokoch na Ukrajinu ničivými wipermi a ransomvérmi

Ďalší článok



  • Výskumníci spoločnosti ESET zverejnili najnovší APT Activity Report, ktorý mapuje obdobie od septembra do decembra 2022.
  • APT skupiny napojené na Rusko pokračovali v operáciách zacielených na Ukrajinu. V rámci svojich aktivít napríklad nasadili deštrukčný wiper NikoWiper. Skupina Sandworm spustila wiper súbežne s raketovými útokmi ruských ozbrojených síl namierených na ukrajinskú energetickú infraštruktúru. Výskumníci spoločnosti ESET nevedia dokázať koordináciu kybernetických a fyzických útokov, ale ukazuje sa, že skupina Sandworm a ruské ozbrojené zložky majú podobné ciele. 
  • Ruské APT skupiny zaútočili na Ukrajinu aj ransomvérmi Prestige a RansomBoggs.
  • Spolu so skupinou Sandworm cielili na Ukrajinu spearphishingové kampane aj ďalšie ruské APT skupiny ako Callisto a Gamaredon.

  • Skupiny napojené na Čínu sa vo zvýšenej miere zaujímajú o európske krajiny.


Výskumníci spoločnosti ESET zverejnili svoj najnovší APT Activity Report, ktorý sumarizuje ich odhalenia týkajúce sa vybraných skupín zameraných na pokročilé pretrvávajúce hrozby (APT skupiny). Správa mapuje obdobie T3 2022, teda mesiace september až december. Počas skúmaného obdobia pokračovali ruské skupiny v operáciách zacielených na Ukrajinu, pričom používali ničivé wiperi aj ransomvérové útoky. 

Výskumníci spoločnosti ESET odhalili doposiaľ nezdokumentovaný wiper z dielne skupiny Sandworm, ktorý toto neslávne známe zoskupenie nasadilo v októbri na ukrajinskú spoločnosť z energetického sektora. V tom istom období ruské ozbrojené zložky spustili raketový útok na ukrajinskú energetickú infraštruktúru. ESET nevie dokázať koordináciu kybernetických a fyzických útokov, ale ukazuje sa, že skupina Sandworm a ruské ozbrojené zložky majú podobné ciele.

Ďalší wiper zo série nedávno odhalených malvérov pomenoval ESET ako NikoWiper. Tento škodlivý kód hackeri použili proti spoločnosti z energetického sektora v októbri. NikoWiper je založený na nástroji príkazového riadku SDelete, ktorý sa používa na bezpečné mazanie súborov. 

Len koncom minulého týždňa výskumníci spoločnosti zachytili aktuálne posledný wiper šíriaci sa na Ukrajine. „Ide o najnovší zo série deštrukčných wiper útokov, skupiny Sandworm, ktoré nabrali na intenzite od začiatku ruskej invázie. Používa pritom nový, doposiaľ nevidený malvér SwiftSlicer, napísaný v programovacom jazyku Go. Po jeho spustení prepíše systémové súbory, čo má za dôsledok, že počítač nepôjde nabootovat. Ešte predtým zmaže zálohy, čím sťaží obnovu, aby bolo treba preinštalovať Windows,“ vysvetľuje výskumník spoločnosti ESET, Robert Lipovský. 

Okrem samostatných wiperov odhalil ESET ďalšie útoky z dielne skupiny Sandworm, ktoré využili ransomvér na zanesenie wiperu. Aj keď útočníci v týchto prípadoch využili ransomvér, ich konečným cieľom bolo mazanie dát. Na rozdiel od tradičných ransomvérových útokov, hackeri nemali v pláne poskytnúť obetiam dešifrovací kľúč za zapletenie výkupného.

V októbri 2022 ESET zdetegoval ransomvér Prestige nasadený na logistické spoločnosti na Ukrajine a v Poľsku. V novembri zas výskumníci spoločnosti ESET odhalili na Ukrajine nový ransomvér napísaný v platforme .NET, ktorý pomenovali ako RansomBoggs. Spolu so skupinou Sandworm sa zamerali na Ukrajinu aj ďalšie ruské APT skupiny ako Callisto a Gamaredon, ktoré pokračovali v spearphishingových kampaniach s cieľom krádeže prihlasovacích údajov a inštalácie škodlivých kódov. 

Výskumníci spoločnosti ESET odhalili aj spearphishingovú kampaň z dielne skupiny MirrorFace zacielenú na japonských politikov a poukázali na zmeny v cieľoch niektorých skupín napojených na Čínu. Zoskupenie Goblin Panda sa napríklad začalo podobne ako Mustang Panda viac orientovať na európske organizácie. V septembri ESET zachytil loader Korplug použitý skupinou Mustang Panda v rámci útoku na švajčiarsku organizáciu z oblasti energetiky. 

V útokoch pokračovali aj hackeri napojení na iránsky režim. Skupina POLONIUM sa popri firmách z Izraela zamerala aj na ich zahraničné pobočky. Skupina MuddyWater zas pravdepodobne skompromitovala poskytovateľa služieb na správu kybernetickej bezpečnosti.

Skupiny napojené na Severnú Kóreu zneužili staršie zraniteľnosti na skompromitovanie kryptomenových firiem a zmenární v rôznych častiach sveta. Zaujímavosťou je, že skupina Konni rozšírila svoje jazykové portfólio, ktoré používa vo svojich falošných dokumentoch, o angličtinu. Môže to znamenať, že aktuálne sa nezameriava na svoje tradičné ciele – Rusko a Južnú Kóreu. 

Celý ESET APT Activity Report si môžete prečítať na tomto odkaze. Najnovšie odhalenia našich výskumníkov nájdete aj na Twitteri ESET research.

ESET poskytuje okrem verejného ESET APT Activity Reportu aj omnoho detailnejšiu správu ESET APT Report PREMIUM určenú pre organizácie zamerané na ochranu občanov či kritickej infraštruktúry. Poskytuje v nej hĺbkové technické detaily a pravidelné aktualizácie aktivít špecifických APT skupín. Viac informácií o službách ESET Threat Intelligence nájdete na tejto stránke


O spoločnosti ESET
Už viac ako 30 rokov vyvíja spoločnosť ESET popredný softvér a služby zamerané na IT bezpečnosť a ochranu podnikov, kritickej infraštruktúry a domácností z celého sveta pred čoraz sofistikovanejšími digitálnymi hrozbami. V rámci širokej škály riešení určených pre koncové a mobilné zariadenia až po šifrovanie a dvojúrovňové overovanie prináša ESET svojim zákazníkom vysokovýkonné a zároveň jednoducho použiteľné produkty, ktoré chránia bez zbytočného rušenia 24 hodín denne, pričom ochranné mechanizmy sa aktualizujú v reálnom čase, aby boli používatelia vždy v bezpečí a firemná prevádzka mohla fungovať bez prerušení. Keďže hrozby sa neustále vyvíjajú, na svojom vývoji musí pracovať aj IT bezpečnostná spoločnosť, ktorá chce napomáhať k bezpečnému používaniu technológií. Na tomto cieli a podpore lepšej spoločnej budúcnosti pracuje spoločnosť ESET prostredníctvom svojich centier výskumu a vývoja v rôznych kútoch sveta. Viac informácií nájdete na stránke www.eset.sk, prípadne nás môžete sledovať na sociálnych sieťach LinkedIn, Facebook a Twitter.