kyberkriminalitaReuters
StoryEditor

Útočníci pri špionážnej kampani zneužívajú vojnu na Ukrajine. Cieľov je viacero

25.03.2022, 17:30
Autor:
ahgahg
Jeden zo súborov, ktorý je súčasťou špionážnej kampane, má názov „Situation at the EU borders with Ukraine.exe“, v preklade „Situácia na hraniciach EÚ s Ukrajinou“. 

Výskumníci spoločnosti ESET odhalili aktuálne prebiehajúcu špionážnu kampaň, ktorá využíva doposiaľ nezdokumentovaný variant vírusu trojan Korplug z dielne APT skupiny Mustang Panda.

Tento nový variant pomenovali Hodur pre jeho podobnosť s variantom THOR, ktorý bol objavený v roku 2020. V nórskej mytológii je Hodur slepý nevlastný brat boha Thora. 

Kampaň zneužíva vojnu na Ukrajine aj ďalšie témy, ktoré rezonujú v Európe. Medzi známymi obeťami sú výskumné organizácie, poskytovatelia internetových služieb a európske diplomatické misie, ktoré sa nachádzajú najmä vo východnej a juhovýchodnej Ázii.

Útočníci pravdepodobne lákajú obete prostredníctvom phishingových dokumentov, ktoré odkazujú na najnovšie udalosti v Európe, vrátane ruskej invázie na Ukrajinu.

Pred vojnou utiekli do okolitých krajín podľa Úradu vysokého komisára OSN pre utečencov už viac ako 3 milióny ľudí, čo spôsobilo na ukrajinských hraniciach bezprecedentnú krízu. Jeden zo súborov, ktorý je súčasťou špionážnej kampane, má napríklad názov „Situation at the EU borders with Ukraine.exe“, v preklade „Situácia na hraniciach EÚ s Ukrajinou“. 

​Medzi ďalšie phishingové nástroje patria dokumenty o aktuálnych pandemických cestovných obmedzeniach, schválená mapa pre regionálnu pomoc v Grécku či nariadenia Európskeho parlamentu a Rady Európskej únie.

Poslednou návnadou je zneužitý skutočný dokument, ktorý je dostupný na stránke Európskej rady. Ide o dôkaz toho, že APT skupina, ktorá je za touto kampaňou, pozorne sleduje aktuálne dianie a je naň schopná úspešne a rýchlo reagovať. 

„Mustang Panda, tiež známa ako TA416, RedDelta alebo PKPLUG je to špionážna skupina, ktorá sa zameriava najmä na vládne inštitúcie a neziskové organizácie,“ vysvetľuje Alexandre Côté Cyr, výskumník spoločnosti ESET, ktorý objavil malvér Hodur.

Obete APT skupiny Mustang Panda sa nachádzajú prevažne vo východnej a juhovýchodnej Ázii, a to najmä v Mongolsku. Útočníci však v menšej miere cielia aj na Európu. Skupinu napríklad neslávne preslávila kampaň z roku 2020 namierená na Vatikán.  

Medzi identifikovanými zasiahnutými cieľmi sú diplomatické misie, výskumné organizácie a poskytovatelia internetových služieb.  

„Na rozdiel od ostatných kampaní, ktoré využívajú Korplug, v tomto prípade každá fáza inštalácie škodlivého kódu využíva rôzne techniky na sťaženie analýzy programu, vrátane skomplikovania toku jeho riadenia. Útočníci nám tak chcú sťažiť prácu,“ dodáva Côté Cyr. 

01 - Modified: 2022-02-19 05:18:32 - Feat.: 0 - Title: Biely dom obvinil Rusko z kyberútokov zameraných proti Ukrajine 02 - Modified: 2022-02-25 06:30:34 - Feat.: 0 - Title: Hackerská skupina Anonymous vyhlásila kybernetickú vojnu proti ruskej vláde 03 - Modified: 2022-02-25 07:03:19 - Feat.: 0 - Title: Kybervojna s Putinom: Anonymous odstavili ruskú štátnu televíziu. Ukrajina regrutuje hackerov 04 - Modified: 2022-03-02 07:34:10 - Feat.: 0 - Title: Ukrajinu zasiahli ničivé kyberútoky pred aj počas ruskej invázie 05 - Modified: 2022-03-04 22:36:59 - Feat.: 0 - Title: Takto nás môže ovplyvniť kybervojna. Odborník vysvetlil, čo hrozí bežným ľuďom
01 - Modified: 2022-06-24 08:46:31 - Feat.: - Title: Esetu sa darí. Zisk firmy po prvýkrát prekročil hranicu 80 miliónov eur 02 - Modified: 2022-06-17 08:35:31 - Feat.: - Title: Naď: Web ministerstva obrany čelil kyberútoku, dáta sú v bezpečí 03 - Modified: 2022-05-27 09:46:45 - Feat.: - Title: Harabin sa má ospravedlniť Esetu za výroky o zasahovaní do volieb, rozhodol súd 04 - Modified: 2022-05-12 10:26:10 - Feat.: - Title: Vstup Fínska do NATO bude pre Rusko hrozba, uviedol hovorca Kremľa 05 - Modified: 2022-05-12 09:52:51 - Feat.: - Title: Aj keď Únia pripravuje zákaz, príjmy Ruska z ropy tento rok vzrástli
menuLevel = 2, menuRoute = style/tech, menuAlias = tech, menuRouteLevel0 = style, homepage = false
11. august 2022 20:28