Cyberbezpieczeństwo

Kradzież danych rządowych i wojskowych. Trwa kampania hakerska

cyberatak
Fot. Mikhail Nilov/Pexels

Trwa kampania hakerska o charakterze szpiegowskim, w ramach której prowadzone są cyberataki na podmioty wyższego szczebla w wielu państwach, w tym w Europie. Cel stanowią m.in. agencje rządowe i wojsko. Do części z nich sprawcom udało się włamać.

Specjaliści Group-IB wykryli kampanię (nazwano ją „Dark Pink”), która jest prowadzona przez nową grupę APT. Wrogie działania są wymierzone w podmioty wyższego szczebla z takich państw, jak Kambodża, Indonezja, Malezja, Filipiny, Wietnam oraz Bośnia i Hercegowina.

Specjaliści nie byli w stanie przypisać cyberataków istniejącej wcześniej grupie, dlatego mówią o nowym aktorze APT – „Saaiwc Group”. Osoby stojące za kampanią korzystają z niestandardowych narzędzi i stosują rzadko spotykane techniki oraz taktykę.

Czytaj też

Oddziały armii i nie tylko

Eksperci wskazują, że do tej pory udało im się potwierdzić siedem skutecznych cyberataków w okresie od czerwca do grudnia 2022 r. Ostrzegają jednak, że kampania jest wciąż kontynuowana, przez co liczba ta może się zwiększyć.

Celem grupy są ministerstwa, agencje rządowe, podmioty wojskowe, a także organizacje non-profit i religijne. Specjaliści Group-IB nie wykluczają, że lista potencjalnych ofiar jest większa.

Chronologia skutecznych cyberataków (wszystkie w 2022 r.)

  • czerwiec – organizacja religijna w Wietnamie
  • sierpień – organizacja non-profit w Wietnamie
  • wrzesień – oddział filipińskiej armii
  • październik – oddział malezyjskiej armii
  • listopad – dwa włamania do podmiotów rządowych w Bośni i Hercegownie oraz Kambodży
  • grudzień – agencja rządowa w Indonezji

Czytaj też

Zaczyna się od maila

W raporcie ekspertów stwierdzono, że początkowym wektorem ataków są ukierunkowane maile typu spear-phishing.

W jednym z przypadków wiadomość miała pochodzić od osoby rzekomo poszukującej pracy. W treści wskazano, że ubiega się ona o przyjęcie na stanowisko stażysty ds. PR i komunikacji, zgodnie z ofertą wystawioną na jednym z portali dla bezrobotnych. Może to oznaczać, że sprawcy przeglądają tablice i na tej podstawie opracowują złośliwe e-maile.    

Ponadto, w wiadomości zawarty był skrócony adres URL, który po kliknięciu przenosił ofiarę na witrynę przeznaczoną do udostępniania plików. Tam załączony był plik z wirusem.

Czytaj też

Kampania szpiegowska

Atakującym zależy na kradzieży plików, danych i uzyskaniu dostępu do mikrofonów. Dokonują tego za pomocą dwóch typów złośliwego oprogramowania: „Cucky” i „Ctealer”.

Dodatkowo, hakerzy wykorzystują narzędzia pozwalające na zdalną infekcję urządzeń USB podpiętych do zainfekowanego komputera, a także innych elementów sieci.

YouTube cover video
Cyfrowy bunkier. Jak chronić dane na wypadek cyberataku?

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu.Piszcie do nas na: [email protected]

Komentarze

    Czytaj także