Szpiegostwo korporacyjne a'la RedCurl. Nieznany wymiar działalności grup APT

Grupa ma działać przynajmniej od 2018 roku i podejrzewana jest o przeprowadzenie przynajmniej 26 ataków na firmy z branży budowlanej, finansowej, konsultingowej, retail, bankowości i ubezpieczeń, prawa oraz turystycznej.

Działania grupy charakteryzują się brakiem jakiejkolwiek sprecyzowanej lokalizacji – zaatakowane podmioty mieszczą się w Rosji, na Ukrainie, w Wielkiej Brytanii, Niemczech, Kanadzie i Norwegii. Zdaniem ekspertów RedCurl operacje mogły zostać zlecone jako forma szpiegostwa korporacyjnego.  Jak dotychczas udało się zidentyfikować 14 firm, które padały ofiarą ataków, część z nich wielokrotnie. Prawdopodobnym celem działań grupy, wskazanym przez Group-IB, jest kradzież poufnych dokumentów zawierających tajemnice handlowe oraz dane osobowe pracowników. 

Pierwszy zidentyfikowany atak miał miejsce w maju 2018 roku i rozpoczął się od …. dobrze napisanego maila phishingowego, który skierowany został do konkretnej grupy pracowników, co świadczy o analizie struktur firmy. Najczęściej cyberprzestępcy podszywali się pod personel HR i wysyłali e-maile do wielu pracowników w tym samym dziale. Działanie to jak się okazuje, skutecznie osłabiało czujność pracowników i zachęcało do otwierania załącznika, w którym zamieszczono zainfekowany ładunek. Kolejne zidentyfikowane ataki, odbywały się w podobnym schemacie. Po zainfekowaniu urządzenia ofiary, cyberprzestępcy przejmowali dokumentację i e-maile służbowe, a także dane uwierzytelniające dostęp do skrzynki biznesowej. 

„Jako element nieuczciwej konkurencji szpiegostwo korporacyjne jest stosunkowo rzadkim zjawiskiem w świecie APT” – stwierdził Rustam Mirkasymov, przedstawiciel Group-IB. „Pomimo braku bezpośrednich szkód finansowych, co jest typowe dla grup cyberprzestępców motywowanych finansowo, konsekwencje szpiegostwa mogą sięgać dziesiątek milionów dolarów” – dodał w komentarzu do sprawy.