ESET: Τα γεωπολιτικά παιχνίδια των κυβερνοεπιθέσεων

Η ESET δημοσίευσε τη νεότερη έκθεση σχετικά με τις δραστηριότητες επιλεγμένων ομάδων προηγμένων επίμονων απειλών (APT) που παρατηρήθηκαν, ερευνήθηκαν και αναλύθηκαν από τους ερευνητές της ESET από τον Απρίλιο του 2023 έως το τέλος Σεπτεμβρίου 2023.

Η έρευνα αποκαλύπτει πως οι ομάδες Sednit και Sandworm που πρόσκεινται στη Ρωσία, η προσκείμενη στη Βόρεια Κορέα Konni και οι γεωγραφικά μη προσκείμενες Winter Vivern και SturgeonPhisher εκμεταλλεύτηκαν την ευκαιρία να χρησιμοποιήσουν ευπάθειες στο WinRAR (Sednit, SturgeonPhisher και Konni), στο Roundcube (Sednit και Winter Vivern), στο Zimbra (Winter Vivern) και στο Outlook for Windows (Sednit) για να επιτεθούν σε διάφορους κρατικούς οργανισμούς, όχι μόνο στην Ουκρανία, αλλά και στην Ευρώπη και την Κεντρική Ασία. Όσον αφορά στους φορείς απειλών που συνδέονται με την Κίνα, η ομάδα GALLIUM πιθανώς εκμεταλλεύτηκε αδυναμίες σε διακομιστές Microsoft Exchange ή διακομιστές IIS, επεκτείνοντας τη στόχευση φορέων εκμετάλλευσης τηλεπικοινωνιών και κρατικών οργανισμών σε όλο τον κόσμο – η MirrorFace πιθανόν εκμεταλλεύτηκε ευπάθειες στην υπηρεσία ηλεκτρονικής αποθήκευσης Proself – και η ομάδα TA410 πιθανόν εκμεταλλεύτηκε ελαττώματα στον διακομιστή εφαρμογών Adobe ColdFusion.

Οι ομάδες που πρόσκεινται στο Ιράν και τις χώρες της Μέσης Ανατολής συνέχισαν να δραστηριοποιούνται σε μεγάλο βαθμό, εστιάζοντας κυρίως στην κατασκοπεία και την κλοπή δεδομένων από οργανισμούς στο Ισραήλ. Αξίζει να σημειωθεί ότι η MuddyWater, η οποία πρόσκειται στο Ιράν, επιτέθηκε επίσης σε μια άγνωστη οντότητα στη Σαουδική Αραβία, αναπτύσσοντας ένα payload που υποδηλώνει την πιθανότητα αυτός ο φορέας απειλής να λειτουργεί ως ομάδα ανάπτυξης πρόσβασης για κάποια άλλη, πιο προηγμένη ομάδα.

Ο πρωταρχικός στόχος των ομάδων που συνδέονται με τη Ρωσία παρέμεινε η Ουκρανία, όπου ανακαλύψαμε νέες εκδόσεις των γνωστών wipers RoarBat και NikoWiper και ένα νέο wiper που ονομάσαμε SharpNikoWiper, όλα αναπτυγμένα από την ομάδα Sandworm. Είναι ενδιαφέρον ότι, ενώ άλλες ομάδες, όπως οι Gamaredon, GREF και SturgeonPhisher, έχουν ως στόχο χρήστες του Telegram για να προσπαθήσουν να κλέψουν πληροφορίες ή κάποια μεταδεδομένα που σχετίζονται με το Telegram, η ομάδα Sandworm χρησιμοποιεί ενεργά αυτήν την υπηρεσία για σκοπούς ενεργών μέτρων, διαφημίζοντας τις επιχειρήσεις κυβερνοσαμποτάζ της. Ωστόσο, η πιο δραστήρια ομάδα στην Ουκρανία συνέχισε να είναι η Gamaredon, η οποία ενίσχυσε σημαντικά τις δυνατότητες συλλογής δεδομένων με την αναβάθμιση των υφιστάμενων εργαλείων και την ανάπτυξη νέων.

Οι ομάδες που πρόσκεινται στη Βόρεια Κορέα συνέχισαν να επικεντρώνουν τη δραστηριότητά τους στην Ιαπωνία και τη Νότια Κορέα, χρησιμοποιώντας προσεκτικά σχεδιασμένα spear phishing e-mails. Το πιο ενεργό σχήμα Lazarus που παρατηρήθηκε ήταν το Operation DreamJob, το οποίο δελεάζει τους στόχους με ψεύτικες προσφορές για επικερδείς θέσεις εργασίας. Αυτή η ομάδα επέδειξε σταθερά την ικανότητά της να δημιουργεί κακόβουλο λογισμικό για όλες τις μεγάλες πλατφόρμες υπολογιστών.

Τέλος, οι ερευνητές της εταιρείας αποκάλυψαν τις δραστηριότητες τριών ομάδων που συνδέονται με την Κίνα και δεν είχαν προηγουμένως αναγνωριστεί: της DigitalRecyclers, που επανειλημμένα έθεσε σε κίνδυνο έναν κρατικό οργανισμό στην ΕΕ, της TheWizards, που πραγματοποιούσε επιθέσεις adversary-in-the-middle- και της PerplexedGoblin, που είχε ως στόχο έναν άλλο κρατικό οργανισμό στην Ε.Ε.

Τεύχος 384