Kampania cyberataków w Ameryce Południowej. Głównym celem Kolumbia.
Kampania ataków cybernetycznych na Kolumbię trwała kilka miesięcy. Celem były władze na każdym szczeblu lokalnym, miejskim i federalnym. Działania grupy były wymierzone również w sektor finansowy, energetyczny i zdrowotny, a to tylko część zagrożonych obszarów.
Badacze z Insikt Group zidentyfikowali intensywną aktywność grupy Blind Eagle. Jej główny obszar działań skupia się na szpiegostwie cybernetyczym w państwach Ameryki Południowej. Wykazują oni również motywacje finansowe. Ataki wymierzone są głównie w instytucje rządowe, sądownictwo, organy podatkowe, firmy naftowe i energetyczne oraz sektor edukacji, opieki zdrowotnej, produkcji - czytamy w raporcie Insikt Group.
Państwem, które doświadcza największej ilości cyberataków tej grupy jest Kolumbia. Kolejne państwa to Ekwador, Chile, Panama.
W kampaniach spearphishingowych TAG-144 (Blind Eagle) podszywa się pod lokalne agencje rządowe. Wysyłają wiadomości, które mają zachęcić odbiorcę do otwarcia złośliwego załącznika. Tematyka maili zwykle dotyczy windykacji długów czy powiadomień sądowych.
Czytaj też
Pięć klastrów aktywności grupy
Grupa Insikt zidentyfikowała 5 obszarów działalności grupy:
- Pierwszy z nich aktywny od lutego do lipca 2025 roku. Głównym celem były kolubijskie jednostki rządowe.
- Drugi klaster był aktywny od września do grudnia 2024 roku. Cyberprzestępcy skupili się już nie tylko na kolumbijskim rządzie, ale również na podmiotach z sektora edukacji, obronności i handlu.
- Trzeci klaster „ aktywny od września 2024 r. do lipca 2025 r., składa się z adresów IP C2 powiązanych z kolumbijskim dostawcą usług internetowych UNE EPM, hostującym domeny duckdns\[.\]org i okazjonalnie con-ip\[.\]com. Klaster 3 jest powiązany z wdrożeniami AsyncRAT i REMCOS RAT.” – czytamy w raporcie.
- Czwarty klaster to okres od maja 2024 do lutego 2025 „ łączył użycie złośliwego oprogramowania z infrastrukturą phishingową” przypisywaną grupie TAG-144. - Natomiast piąty klaster aktywny od marca do lipca 2025 r. jest powiązana z Lime RAT i złamaną odmianą AsyncRAT widoczną w klastrach 1 i 2”.
Grupa Insikt jednoznacznie nie określila pochodzenia grupy, jednak zebrane dowody wykazują aktywność w strefie UTC-5 lub UTC-4, co jak podkreślają badacze pokrywa się z sytuacją w Kolumbii i Ekwadorze. Jako prawdopodbną siedzibę grupy wskazują właśnie Kolumbię. Badacze zauważyli, że „grupa przestępcza korzysta z narzędzi i usług powiązanych z brazylijskim podziemiem cyberprzestępczym, co wskazuje na możliwe powiązania z brazylijskimi cyberprzestępcami”.
Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].
Cyfrowy Senior. Jak walczy się z oszustami?