Kybernetická bezpečnost

ESET APT Activity Report: Ruské APT skupiny pokračovaly v útocích na ukrajinské cíle

5 min. čtení

ESET APT Activity Report poskytuje pravidelný přehled poznatků společnosti ESET o aktivitách skupin zaměřených na pokročilé přetrvávající hrozby (Advanced Persistent Threat – APT). Aktuální vydání mapuje období od září do prosince roku 2022.

Co jsou APT skupiny?

 

Skupiny zaměřující se na pokročilé přetrvávající hrozby (Advanced Persistent Threats – APT) jsou seskupení útočníků, obvykle z řad státních organizací nebo organizací, které pracují na objednávku států. Zaměřují se na cílené a sofistikované kybernetické operace ve snaze proniknout do systémů vysoko postavených cílů (vládní organizace, korporace) a nepozorovaně v nich zůstat delší dobu. Činí tak většinou za účelem dlouhodobé kybernetické špionáže a odcizení citlivých údajů. APT skupiny disponují širokou škálou poznatků, pokročilými nástroji a technikami, díky nimž dokáží zneužívat zero-day zranitelnosti.

Jak vypadá útok APT skupinou si můžete poslechnout v našem podcastu TruePositive:

Ruské APT skupiny pokračovaly v operacích zaměřených proti Ukrajině

Skupina Sandworm zahájila útok souběžně s raketovými útoky ruských ozbrojených sil na ukrajinskou energetickou infrastrukturu. Bezpečnostní experti společnosti ESET nemohou prokázat koordinaci kybernetických a fyzických útoků, ale zdá se, že skupina Sandworm a ruské ozbrojené síly mají podobné cíle. V rámci svých aktivit nasadili také destruktivní wipery. ESET pojmenoval nejnovější ze série dříve objevených wiperů NikoWiper. Tento wiper byl v říjnu 2022 použit proti jedné z energetických společností na Ukrajině. NikoWiper je založen na SDelete, nástroji příkazového řádku od společnosti Microsoft, který slouží k bezpečnému mazání souborů.

Ačkoli útočníci ze skupiny Sandworm používali také ransomware, jejich konečným cílem bylo smazat data. Na rozdíl od tradičních útoků ransomwarem hackeři neplánovali poskytnout obětem dešifrovací klíč výměnou za výkupné.

V říjnu 2022 ESET detekoval ransomware Prestige, který byl nasazen proti logistickým společnostem na Ukrajině a v Polsku. V listopadu bezpečnostní specialisté z ESETu objevili na Ukrajině nový ransomware napsaný v prostředí .NET, který pojmenovali RansomBoggs.

Vedle Sandwormu se na Ukrajinu prostřednictvím spearphishingových kampaní zaměřily i další ruské APT skupiny, například Callisto a Gamaredon.

 

Skupiny napojené na Čínu se stále častěji zaměřují na evropské země

Experti z ESETu odhalili také spearphishingovou kampaň skupiny MirrorFace zaměřenou na japonské politiky a upozornili na změny v cílech některých skupin napojených na Čínu. Například skupina Goblin Panda, stejně jako Mustang Panda, se začala více zaměřovat na evropské organizace. V září ESET zachytil loader Korplug, který Mustang Panda použila při útoku na švýcarskou energetickou organizaci.

V útocích pokračovali také hackeři napojení na íránský režim. Skupina POLONIUM se zaměřila na izraelské společnosti a jejich zahraniční pobočky. Skupina MuddyWater zase pravděpodobně kompromitovala poskytovatele služeb správy kybernetické bezpečnosti.

Skupiny napojené na Severní Koreu využily starší zranitelnosti ke kompromitaci kryptoměnových firem a burz v různých částech světa. Zajímavé je, že skupina Konni rozšířila portfolio jazyků, které používá ve svých falešných dokumentech, o angličtinu. To může znamenat, že se v současnosti nezaměřuje na své tradiční cíle, tedy Rusko a Jižní Koreu.

Podrobné informace naleznete v kompletní zprávě ESET APT Activity Report T3.

Kromě veřejné zprávy ESET APT Activity Report poskytuje společnost ESET také mnohem podrobnější zprávu ESET APT Report PREMIUM určenou pro organizace zaměřené na ochranu občanů, kritické infrastruktury nebo vysoce cenných aktiv před kybernetickými útoky vedenými kyberzločinci a národními státy.

Zpráva poskytuje podrobné technické informace a pravidelné aktualizace o činnosti konkrétních APT skupin. Více informací o službách ESET Threat Intelligence naleznete na této stránce.