Cyberataki na kontrahentów zbrojeniowych. Wśród celów Polska i Ukraina

Specjaliści firmy ESET przeprowadzili dochodzenie dotyczące grupy APT "Lazarus", która dokonywała cyberataków na kontrahentów zbrojeniowych na całym świecie.

Ich działania bazowały na fałszywych kampaniach rekrutacyjnych, prowadzonych na znanych serwisach i aplikacjach, w tym np. LinkedIn i WhatsApp. Jak pokazały dane telemetryczne, celem były podmioty z Polski, Ukrainy, Francji, Włoch, Hiszpanii, NIemiec, Czech, a także Turcji, Kataru i Brazyli.

Głównie Europa

W 2020 r. specjaliści ESET udokumentowali działania podgrupy "Lazarusa", które były wymierzone przeciwko europejskim firmom z branży lotniczej i obronnej. Cyberataki nazwano "operacją In(ter)ception".

W trakcie kampanii wykorzystano social media - głównie LinkedIn, aby w ten sposób nawiązać kontakt z ofiarą, wzbudzić w niej zaufanie. W dalszej kolejności sprawcy wysyłali do nic niepodejrzewającego pracownika link lub załcznik, imitujący np. opis przyszłego stanowiska pracy.

"Mimo że głównym celem operacji Lazarusa jest szpiegostwo, grupa usiłowała również eksfiltrować pieniądze, czego jednak nie udało się jej zrealizować. (...) akcja była skierowana głównie przeciwko firmom europejskim" - wskazuje ESET.

Z czasem jednak okazało się, że cele hakerów znajdowały się także w Brazylii, Czechach, Katarze, Turcji i Ukrainie.

"Już od dłuższego czasu wyczulamy użytkowników serwisów społecznościowych i komunikatorów internetowych na ryzyko ataków poprzez te kanały. Jednym z przykładów takich zagrożeń są niedawno wykryte kampanie związane z fałszywymi rekrutacjami przez LinkedIn. Metody działań cyberprzestępców stale ewoluują, a zagrożenie rośnie, co obrazuje zarówno najnowszy Threat Report, jak i działalność grupy Lazarus" – wskazuje Kamil Sadkowski, starszy specjalista ds. cyberbezpieczeństwa ESET. "Co ważne, udokumentowaliśmy również wykorzystanie elementów legalnych kampanii rekrutacyjnych w celu nadania wiarygodności fałszywym rekruterom. Atakujący wykorzystywali wówczas takie aplikacje, jak WhatsApp czy Slack" – precyzuje.

Wojenna rzeczywistość

W najnowszym raporcie "Threat Report T1 2022" specjaliści ESET opisali różnorodne cyberataki, jakie miały miejsce do tej pory w trakcie wojny w Ukrainie. Skupili się na tych wrogich działaniach, które udało im się przeanalizować oraz na tych, które pomogli ograniczyć. Przykładowo, w dokumencie wskazano na m.in. oprogramowanie Industroyer. Hakerzy użyli go, aby zakłócić działanie strategiczną infrastrukturę energetyczną w Ukrainie.

"Na krótko przed rosyjską inwazją, telemetria ESET odnotowała gwałtowny spadek liczby ataków z wykorzystaniem protokołu RDP (protokół pulpitu zdalnego). Spadek tego typu ataków nastąpił po dwóch latach stałego wzrostu. Jak wyjaśnia najnowszy raport ESET Threat Report T1 2022, ten punkt zwrotny może być związany z wojną w Ukrainie. Jednak nawet pomimo tego spadku, prawie 60 proc. ataków RDP zaobserwowanych w pierwszych czterech miesiącach 2022 roku pochodziło z Rosji" – zwraca uwagę Kamil Sadkowski z ESET.

Wojna ma swoją cenę

Przed wybuchem wojny w Ukrainie mówiło się, że Rosja jest bezpiecznym przystankiem dla gangów ransomware i z tego względu nie była atakowana. Jednak jak wynika z badnia ESET, państwo Putina w okresie od stycznia do kwietnia br. stało się "najczęściej atakowanym krajem". Badacze zidentyfikowali m.in. typ operacji z ekranem blokady wykorzystującym ukraińskie pozdrowienie narodowe „Slava Ukraini!”.

Od momentu inwazji zdecydowanie wzrosła liczba amatorskich wariantów oprogramowania ransomware i wiperów. Ich twórcy z reguły opowiadają się po jednej ze stron konfliktu, a cyberataki są wyrazem ich "osobistej zemsty". Nie można także zapominać o nieustających kampaniach phishingowych.

"Natychmiast po inwazji 24 lutego oszuści kierowali ataki w stronę osób próbujących wesprzeć Ukrainę i jej obywateli, wykorzystując fikcyjne organizacje charytatywne. W dniu rozpoczęcia wojny telemetria ESET zarejestrowała także duży wzrost wykryć spamu. Korzystnym czynnikiem dla cyberprzestępców była wówczas ogólna dezinformacja wywołana sytuacją w Ukrainie. To spowodowało, że przeprowadzenie ataków na nieświadomych darczyńców było bardziej skuteczne" - podkreśla Kamil Sadkowski.

Tak. Emotet wrócił

Analiza dokonana przez specjalistów ESET pokazała, że wirus rozprzestrzeniający się przede wszystkim za pomocą wiadomości spamowych "Emotet" powrócił i ponownie pojawił się w telemetrii ESET. Szczególny wzrost aktywności odnotowano w marcu i kwietniu br. Wówczas prowadzono masowe kampanie spamowe z użyciem zainfekowanych dokumentów Microsoft Word.

Według ekspertów, wrogie operacje wykorzystujące złośliwe makra mogły być ostatnimi. Ma na to wpływ decyzja Microsoftu o domyślnym wyłączeniu makr w dokumentach pochodzących z internetu w programach pakietu Office.

"Po tej zmianie operatorzy Emotet zaczęli testować inne wektory ataków na znacznie mniejszych grupach ofiar. Kampanie Emotet znalazły się w kategorii zagrożeń e-mail, których liczba wzrosła w ciągu czterech pierwszych miesięcy 2022 roku o 37 proc." - czytamy w informacji prasowej.

Na podstawie informacji prasowej

Chcemy być także bliżej Państwa – czytelników. Dlatego, jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected]. Przyszłość przynosi zmiany. Wprowadzamy je pod hasłem #CyberIsFuture.