Google ostrzega. Wzrost liczby cyberataków na Ukrainę oraz kraje bałtyckie!

Badacze z Threat Analysis Group (TAG) z Google’a stwierdzili, że w ostatnim czasie doszło do gwałtownego zwiększenia się aktywności grup cyberprzestępców pokroju APT28, Coldriver bądź Turla.

Obydwie grupy są powiązane z Rosją, aczkolwiek APT28 znane tez jako Fancy Bear ma jeszcze otrzymywać wsparcie z Chin, Iranu czy Korei Północnej. W kwietniu Google zaobserwowało działalność APT28 polegającą na infekowaniu pomiotów w Ukrainie za pomocą złośliwego oprogramowania mającym na celu kradzież plików cookie i przechowywanych haseł przez przeglądarki Firefox, Edge i Chrome.

Wektorem ataku są e-maile zawierające zaszyfrowane archiwa zip w formacie “ua_report.zip”. Po zebraniu danych te są wysyłane e-mailem na konto atakującego.

Te mogłyby później posłużyć atakującym do przejęcia kontroli nad systemami różnego typu lub do szantażowania konkretnych osób. Szczególnie na celowniku była i wciąż jest tutaj infrastruktura krytyczna, do której można zaliczyć np. dostawców internetu, media, operatorów sieci energetycznej, operatorów gazociągów, czy wodociągów.

Podobną kampanię zdobywania danych prowadzi grupa znana jako Callisto lub Coldriver poprzez ataki phishingowe na skrzynki e-mail urzędników rządy, ministerstwa obrony, dziennikarzy, organizacji pozarządowych, polityków i think tanków wysyłanych ze skrzynek Gmaila.

Początkowo opierali się na wykorzystywaniu linków kierujących do zainfekowanych stron, ale z czasem zaczęli je umieszczać w dokumentach umieszczanych na Google Drive lub Microsoft One Drive.

Aktywna była także białoruska grupa Ghostwriter przeprowadzająca ataki phishingowe na wysoko postawione cele w Ukrainie z kont Gmaila. Wysyłane wiadomości zawierały linki do zhakowanych stron internetowych wymagających powtórnego zalogowania się. Google informuje, że żadne z kont nie zostało naruszone w wyniku tej kampanii phishingowej.

Warto jednak zaznaczyć wzmocniona ochotnikami z Zachodu i wspierana przez kolektyw Anonymous, “cyberarmia” Ukrainy jest bardzo skuteczna w odpieraniu ataków Rosjan na ukraińską infrastrukturę.

Rosyjskie cyberataki to nie tylko Ukraina

Odnotowano też znacznie zwiększenie działalności na terenie państw bałtyckich grupy Turla, która jest wspierana lub składa się z funkcjonariuszy rosyjskiej Federalnej Służby Bezpieczeństwa (FSB). Grupa tak samo tak samo jak Coldriver prowadziła kampanie phishingowe nakierowane na podmioty rządowe, organizacje obronne czy zajmujące się cyberbezpieczeństwem.

Wektorem także były wiadomości e-mail zawierające linki prowadzące do plików DOCX hostowanych na infrastrukturze kontrolowanej przez atakującego umożliwiającej przesłanie złośliwego oprogramowania. Dotychczas zidentyfikowano dwie domeny atakujących: ,,wkoinfo.webredirect.org” i ,,jadlactnato.webredirect.org”.

Tagi:

Podziel się postem :)

Najnowsze:

Bezpieczeństwo

Menadżer haseł Norton złamany! Wyciek danych użytkowników

Znany producent oprogramowania odpowiadającego za bezpieczeństwo naszych komputerów i danych — Norton — poinformował o złamaniu zabezpieczeń usługi LifeLock, służącej m.in. do przechowywania haseł. Hakerzy mogli uzyskać dostęp do kont niektórych klientów.

Bezpieczeństwo

Każdy smartfon można podsłuchać. Wystarczy sprytny trik z akcelerometrem

Ataki bocznokanałowe to fascynująca sprawa. Przyznajcie, pomysły takie jak wykorzystanie regulacji prędkości obrotowej wentylatorów komputera do przesyłania danych alfabetem Morse’a robią wrażenie. Oto kolejny z nich. Nie mniej zaskakujący, za to potencjalnie niebezpieczny, bo pozwala napastnikowi podsłuchiwać rozmowy. W pewnym sensie.

Oprogramowanie

Programiści wolą Linuksa od Maca. Dlaczego?

Linux wygrywa z systemem macOS wśród programistów. Kodowanie to jedno z tych zastosowań, wśród których „Pingwinek” odgrywa naprawdę dużą rolę.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *