Praha, 16. prosince 2022 – Specialisté společnosti ESET sledují setrvalou aktivitu tzv. APT skupin, tedy různými státy sponzorovaných kybernetických útočníků, kteří se pokročilými technikami snaží získat data konkrétních cílů za účelem kyberšpionáže. Mezi ty nejaktivnější patří skupiny spojované s Ruskem, Čínou, Íránem a Severní Koreou. Dokládají to zjištění z nové zprávy ESET APT Activity Report, která mapuje období od května do srpna 2022. Ta potvrzuje, že Ukrajina je i nadále hlavním cílem APT skupin napojených na Rusko, jako je nechvalně známá skupina Sandworm, nebo také skupiny Gamaredon, InvisiMole, Callisto a Turla. Skupiny napojené na Severní Koreu se nadále s velkým zájmem zaměřují na letecký a obranný průmysl nebo na finanční a kryptoměnové společnosti a burzy.
„Jednou z aktivit, kterou jsme ve sledovaném období zaznamenali u několika skupin napojených na Rusko, bylo zneužití ruské multiplatformní komunikační služby Telegram k přístupu na C&C servery nebo jako nástroj k úniku informací. Útočníci z jiných regionů se také snažili získat přístup do ukrajinských organizací, a to jak za účelem kybernetické špionáže, tak krádeže duševního vlastnictví,“ upřesňuje Robert Šuman, vedoucí pražského výzkumného oddělení společnosti ESET.
Skupiny napojené na Severní Koreu a Čínu nepolevují ve svých aktivitách
„Letecký a obranný průmysl je i nadále předmětem zájmu severokorejských skupin. Skupina Lazarus se například zaměřila na zaměstnance letecké společnosti v Nizozemsku. Odhalili jsme, že skupina zneužila zranitelnost v legitimním ovladači Dell k infiltraci do společnosti a domníváme se, že se jedná o vůbec první zaznamenané reálné zneužití této zranitelnosti,“ pokračuje Šuman.
Finanční instituce a subjekty pracující s kryptoměnami se také staly cílem kampaní severokorejských skupin, a to konkrétně skupin Kimsuky a Lazarus. Jedna z kampaní, kterou experti společnosti ESET nazvali Operace In(ter)ception, se odklonila od obvyklých cílů z oblasti leteckého a obranného průmyslu. Útočníci se v tomto případě zaměřili na jedince z Argentiny, kterému nastrčili malware maskovaný za nabídku práce ve společnosti Coinbase. ESET také zaznamenal skupinu Konni využívající techniku, kterou v minulosti používala skupina Lazarus – kompromitovanou verzi PDF prohlížeče Sumatra.
Mimořádně aktivní byly i skupiny napojené na Čínu, které využívaly různé zranitelnosti a dosud nezaznamenané backdoory (tzv. zadní vrátka). ESET například identifikoval novou variantu backdooru pro Linux, kterou použila skupina SparklingGoblin proti univerzitě v Hongkongu. Stejná skupina využila zranitelnost Confluence k útoku na potravinářskou společnost v Německu a strojírenskou společnost se sídlem v USA. ESET má také podezření, že zranitelnost ManageEngine ADSelfService Plus stála za kompromitací amerického dodavatele obranných technologií, jehož systémy byly narušeny pouhé dva dny po zveřejnění zranitelnosti. V Japonsku společnost ESET identifikovala několik kampaní MirrorFace, z nichž jedna přímo souvisela s volbami do horní komory japonského parlamentu.
Íránské skupiny se zaměřují na Izrael a Blízký východ, zároveň monitorují své vlastní občany
Rostoucí počet skupin napojených na Írán se nadále zaměřoval především na izraelské cíle. Výzkumným analytikům společnosti ESET se podařilo přiřadit kampaň zaměřenou na desítku organizací v Izraeli skupině POLONIUM a identifikovat několik dosud nezdokumentovaných backdoorů. Skupina Agrius se podle všeho zase v rámci útoku na dodavatelský řetězec, v rámci kterého zneužila izraelský softwarový balík, zaměřovala na organizace v Jihoafrické republice, Hongkongu a Izraeli, které působí v diamantovém průmyslu. V další útočné kampani v Izraeli experti pozorovali možný průnik v použití nástrojů skupinami MuddyWater a APT35. ESET také objevil novou verzi malwaru pro Android s omezenými špionážními funkcemi, která byla použitá v kampani vedené skupinou APT-C-50 a distribuována falešnou íránskou webovou stránkou s překlady.
„Připsat útok konkrétní skupině, o které víme, že je navíc napojena na konkrétní stát, je vždy velmi komplikované. Kybernetické útoky zpravidla nerespektují státní hranice a snahou útočníků je udělat všechno proto, aby útok nešlo zpětně vystopovat a vyšetřit,“ vysvětluje Šuman. „Na druhou stranu jsou tady útočné skupiny, o jejichž aktivitách máme díky našemu dlouholetému výzkumu již mnoho informací. A právě na ně se v našich pravidelných zprávách nyní zaměříme,“ dodává Šuman z ESETu.
Více informací:
Další technické informace naleznete v kompletní zprávě ESET APT Activity Report na WeLiveSecurity.com.
O společnosti ESET
Společnost ESET již od roku 1987 vyvíjí bezpečnostní software pro domácí i firemní uživatele. Drží rekordní počet ocenění a díky jejím technologiím může více než miliarda uživatelů bezpečně objevovat možnosti internetu. Široké portfolio produktů ESET pokrývá všechny populární platformy, včetně mobilních, a poskytuje neustálou proaktivní ochranu při minimálních systémových nárocích.
ESET dlouhodobě investuje do vývoje. Jen v České republice nalezneme tři vývojová centra, a to v Praze, Jablonci nad Nisou a Brně. Společnost ESET má lokální zastoupení v Praze, celosvětovou centrálu v Bratislavě a disponuje rozsáhlou sítí partnerů ve více než 200 zemích světa.
Kontakt pro média:
Ondřej Šafář
Manažer PR a komunikace
ESET software spol. s r.o.
tel: +420 776 234 218
ondrej.safar@eset.cz
Lucie Mudráková
Specialistka PR a komunikace
ESET software spol. s r.o.
tel: +420 702 206 705
lucie.mudrakova@eset.cz