Koronavírus pánik az állami támogatottságú hackercsoportok szolgálatában

 

Ahogy azt egy korábbi bejegyzésünkben is írtuk, a jelenlegi pandémia kiváló táptalaja a különféle támadásoknak a kibertérben (is). Azonban nem csak haszonszerzés állhat ezen műveletek hátterében, a politikai, ideológiai töltet legalább annyira meghatározó, mint a monetizáció.

Az állami háttérrel (anyagi, materiális és humán erőforrások szinte kiapadhatatlan rendelkezésre állása) rendelkező csoportoknak kapóra jött egy újabb globális szintű, az emberek nagy részét (jelen esetben mindenkit) érintő jelenség. Az információéhségünk új magaslatokba emelkedett (érthetően), hiszen ahhoz, hogy felelősen dönthessünk, szükséges, hogy több forrásból, körültekintően tudakozódjunk.

 


 

Akikről biztosan tudunk

 

  • Sandworm és Fancy Bear: Oroszország

 

A QiAnXin biztonságkutató cég olyan orosz hackerek nyomára bukkant, akik valószínűleg a Sandworm és a Fancy Bear csoportokhoz kapcsolhatók. Ukrán célpontoknak adathalász e-maileket küldtek támadókóddal ellátott csatolmányokkal. Ezen levelek forrását az ukrán Egészségügyi Minisztérium közegészségügyi központjának álcázták, így tévesztve meg az áldozatokat. A phishing egy nagyobb dezinformációs kampány részét képezte, amelynek célja az Ukrajnában a Covid-19 járvánnyal kapcsolatos pánik kirobbantása. Ezt sikerült is elérniük, utcai zavargások törtek ki.

 

  • TwoSail Junk: valószínűleg Kína

 

A Kaspersky szakemberei TwoSail Junk-nak keresztelték a csapatot, egyúttal rávilágítottak a korábban felfedezett Spring Dragon/Lotus Blossom/Billbug/Thrip neveken ismert csoporttal közös kapcsolódási pontokra is. Ez a team a Lotus Elise és Evora malware-ekkel vívta ki a biztonsági szakemberek és egyéb rendvédelmi szervek figyelmét.

 

Az iOS 12.1 és 12.2 biztonsági réseit (iPhone 6-tól az iPhone X-ig terjedő modellek érintettek) használja ki támadásuk. A kampány több fórumon közzétett, hamis linkeket használ, amelyek elsősorban a hongkongi lakosokat célozzák meg, és névleg különféle hírekre navigálnak a tomboló COVID-19 világjárványhoz kapcsolódó információéhséget kihasználva, valójában rosszindulatú oldalakra irányítanak át.

 

 

Egy pakisztáni állami támogatással rendelkező Mythic Leopard csapat (APT36) spear phishing kampánya, amelynek célpontjai főként indiai védelmi, külképviseleti és kormányzati infrastruktúrák. A vírus megjelenése óta aktív, egy koronavírusra adott egészségügyi jótanácsokkal szolgáló dokumentumot használ arra, hogy a Crimson Remote Administration Tool-t (RAT) a célgépre juttassa

 

  • Babyshark malware: valószínűleg észak-koreai csoportokhoz köthető

 

A Unit 42 azonosított egy, az Egyesült Államokban található egyetem elleni támadást. A kampuszon Észak-Korea nukleáris leszerelésével kapcsolatos dezinformációra és problémákra rámutató konferenciát terveztek tartani. Ezzel összefüggésben a másik célpont az a szintén USA-beli nemzetbiztonsági problémákat kutató intézet volt, ahol az előadó dolgozik.  

 

A BabyShark malware elemzése során kapcsolatot találtak más, feltételezhetően észak-koreai hack-kampányokkal (KimJongRAT, Stolen Pencil), mivel ugyanazzal az ellopott tanúsítvánnyal írták alá,  mint a fent említett kampányokban szereplőket is.

 

Emellett február végén észak-koreai hackerek indítottak malware kampányt, melynek transfer dokumentumai névleg Dél-Koreának a COVID-19 járványra adott válaszát tartalmazzák, hogy a gyanútlan (és felelőtlen) áldozatok gépeire így juttassa célba a BabyShark malware-t

 

Bővebb információt az állami támogatottságú hacker-csoportokról ezen a linken talál.

 

Top