Čínska skupina zneužila na špehovanie tibetský festival, v Poľsku a na Slovensku sa zas používal malvér na kradnutie hesiel

Každý mesiac začínam tento pravidelný stĺpček nejakou depresívnou informáciou či dramatickou správou. Lebo o tom je väčšinou naša práca v Labe – chrániť pred kybernetickými útočníkmi.  A tieto správy obyčajne nie sú zábavné. No tentoraz môžem začať niečím iným. Okrem olympijských hier v Paríži a slovenského tímu na Majstrovstvách Európy vo futbale v Nemecku totiž niečo výnimočné zažije aj Bratislava. Niečo, čo dozaista prinesie radosť predovšetkým fanúšikom vedy.

Už v nedeľu 13. mája sa začne jedinečný festival vedy a hudby STARMUS, ktorý je tento rok na Slovensku aj vďaka ESETu. STARMUS, ktorého témou bude planéta Zem, predstaví laureátov Nobelovej ceny, ako sú Michel Mayor, Emmanuelle Charpentier a Kip Thorne; astronautov, ktorí sa zapísali do histórie ako Charlie Duke či Chris Hadfield, a svetové vedecké ikony vrátane Jane Goodallovej a prinesie aj hudobnú legendu a astrofyzika zároveň Sira Briana Maya, spoluzakladateľa festivalu a gitaristu kapely Queen. Okrem nich vystúpi aj francúzska legenda elektronickej hudby Jean-Michel Jarre a punkrocková skupina The Offspring. Jedným z vrcholov festivalu bude ceremoniál udeľovania medaily Stephena Hawkinga za vedeckú komunikáciu. Lístky na festival sú už k dispozícii na webe Ticketportal.

A hoci som začal pozitívne, pokračovať už musím tými typickými a viac dramatickými správami z našej kuchyne. Nedávno sme objavili kyberšpionážnu kampaň, ktorá minimálne od septembra 2023 útočila na Tibeťanov prostredníctvom tzv. watering hole útoku, známeho aj pod pojmom strategické kompromitovanie webu, a zároveň spojenú s útokom prostredníctvom dodávateľského reťazca. Útočníci rozširovali trojanizovaný softvér, prekladač do tibetského jazyka. Túto kampaň pripisujeme skupine Evasive Panda prepojenej na Čínu. Zacielené obete sa nachádzali v Indii, na Taiwane, v Hongkongu, Austrálii a Spojených štátoch.

Napadnutá a zneužitá webová stránka, ktorú obeť pravdepodobne alebo aj pravidelne používa, patrila organizácii Kagyu International Monlam Trust so sídlom v Indii, ktorá medzinárodne propaguje tibetský budhizmus. Útok mohol mať za cieľ využiť medzinárodný záujem o festival Kagju Monlam, ktorý sa každoročne v januári koná v Indii. Medzi napadnutých patrila dokonca aj sieť americkej univerzity  Georgia Tech. V minulosti sa univerzita spomínala v súvislosti s vplyvom Čínskej komunistickej strany na vzdelávacie inštitúcie v USA.

Evasive Panda (známa aj ako BRONZE HIGHLAND alebo Daggerfly) je po čínsky hovoriaca skupina, ktorá pôsobí minimálne od roku 2012. Výskum ESETu už zdokumentoval kyberšpionážne operácie tejto skupiny proti jednotlivcom a inštitúciám v pevninskej Číne, Hongkongu, Macau a Nigérii, Mjanmarsku, na Filipínach, na Taiwane a vo Vietname.  Skupina používa svoj vlastný malvér s modulárnou architektúrou, ktorá umožňuje jej backdoorom prijímať moduly na špehovanie obetí a zlepšovanie svojich schopností.

Zároveň sme za posledné mesiace zaznamenali dramatický nárast útokov AceCryptorom, ktorý sa používa na zamaskovanie malvéru, pričom túto „službu“ si menej sofistikovaní útočníci môžu aj zakúpiť. Detekcia podľa našej telemetrie sa medzi prvou a druhou polovicou roka 2023 až strojnásobila, čoho výsledkom je ochrana 42 000 používateľov technológií ESET po celom svete. Navyše v posledných mesiacoch ESET zaregistroval významnú zmenu v spôsobe používania AceCryptora, a to takú, že útočníci šíriaci Rescoms (známy aj ako Remcos) začali využívať AceCryptor. Rescoms je nástroj vzdialeného prístupu (RAT), ktorý často používajú aktéri hrozieb na škodlivé účely. Na základe správania nasadeného malvéru naši výskumníci predpokladajú, že cieľom týchto kampaní bolo získať údaje z e-mailov a prehliadačov a heslá na ďalšie útoky proti zacieleným spoločnostiam. Otváranie príloh z takýchto e-mailov preto logicky môže mať vážne následky. Hrozba sa šírila prostredníctvom spamových kampaní zameraných na európske krajiny vrátane strednej Európy (Poľsko, Slovensko), Balkánu (Bulharsko, Srbsko) a na Španielsko.

Všetky spamové kampane, ktoré sa zamerali na podniky v Poľsku, mali e-maily s veľmi podobnými predmetmi o rôznych obchodných ponukách pre spoločnosti, ktoré sa stali obeťami. Aby to vyzeralo čo najdôveryhodnejšie, útočníci sa naozaj pripravili a splnili svoju domácu úlohu. Napríklad pri podpisovaní týchto e-mailov použili existujúce názvy poľských spoločností a dokonca aj existujúce mená zamestnancov/majiteľov či kontaktné informácie. V prípade, že si obeť vygooglila meno odosielateľa, naozaj sa mohla nechať oklamať, a teda aj infikovať.

Súbežne s kampaňami v Poľsku zaregistrovala telemetria spoločnosti ESET aj prebiehajúce kampane na Slovensku, v Bulharsku a Srbsku. Jediný významný rozdiel bol, samozrejme, v tom, že jazyk používaný v spamových e-mailoch bol lokalizovaný pre tieto konkrétne krajiny. Okrem uvedených kampaní sme zaznamenali nárast spamových e-mailov s Rescoms aj v Španielsku.

Takže dobré aj zlé správy v tomto vydaní. V každom prípade verím, že všetky boli pre vás zaujímavé. No a hlavne sú dôkazom, že pravidelné záverečné želanie bezpečného surfovania v kybernetickom priestore má stále svoje opodstatnenie.