Spoločnosť ESET vydala najnovšiu správu APT Activity Report, ktorá sumarizuje aktivity vybraných skupín pokročilých pretrvávajúcich hrozieb (Advanced Persistent Threat – APT), ktoré výskumníci spoločnosti ESET zdokumentovali od októbra 2023 do konca marca 2024.
Analyzované operácie sú reprezentatívne pre širšie spektrum hrozieb, ktoré ESET v tomto období skúmal a ilustrujú kľúčové trendy a vývoj. Po útoku na Izrael vedenom Hamasom v októbri 2023 a počas prebiehajúcej vojny v Gaze spoločnosť ESET zaznamenala výrazný nárast aktivity skupín napojených na Irán. Skupiny napojené na Rusko zamerali svoje aktivity na špionáž v rámci Európskej únie a útoky proti Ukrajine. Na druhej strane, viacerí útočníci napojení na Čínu využívali zraniteľnosti v technológiách určených pre verejnosť, ako sú VPN a firewally, a v softvéroch, ako sú Confluence a Microsoft Exchange Server, na prvotný prístup k cieľom vo viacerých sférach. Skupiny napojené na Severnú Kóreu sa naďalej zameriavali na letecké a obranné spoločnosti a odvetvie kryptomien.
„Cieľmi väčšiny kampaní boli vládne organizácie a určité vertikály: napríklad tie, ktoré sa stali terčom pokračujúcich a neúnavných útokov na ukrajinskú infraštruktúru. Európa zažila rozmanitejšiu škálu útokov od rôznych útočníkov. Skupiny napojené na Rusko posilnili svoje zameranie na špionáž v Európskej únii, kde si udržiavajú stálu prítomnosť aj hackeri napojení na Čínu, čo naznačuje pretrvávajúci záujem o európske záležitosti zo strany skupín napojených na Rusko aj Čínu,“ hovorí Jean-Ian Boutin, riaditeľ výskumu hrozieb v spoločnosti ESET.
Na základe úniku dát z čínskej spoločnosti I-SOON (Anxun), ktorá poskytuje bezpečnostné služby, môže ESET potvrdiť, že tento čínsky dodávateľ sa skutočne zaoberá kybernetickou špionážou. ESET sleduje časť aktivít tejto spoločnosti v rámci skupiny FishMonger. V najnovšej správe ESET tiež predstavuje novú APT skupinu napojenú na Čínu, CeranaKeeper, ktorá sa vyznačuje jedinečnými znakmi, avšak podľa všetkého je digitálnou stopou spojená so skupinou Mustang Panda.
V prípade skupín napojených na Irán prešli MuddyWater a Agrius od svojho predchádzajúceho zamerania na kybernetickú špionáž a ransomvér k agresívnejším stratégiám zahŕňajúcim poskytovanie prístupu a útoky s väčším dosahom. Aktivity skupín OilRig a Ballistic Bobcat medzitým zaznamenali pokles, čo naznačuje strategický posun k nápadnejším, „hlasnejším“ operáciám zameraným na Izrael.
Pokiaľ ide o hackerov spojených s Ruskom, kampaň Operation Texonto, dezinformačná a psychologická operácia (PSYOP), ktorú odhalili výskumníci spoločnosti ESET, šírila nepravdivé informácie o protestoch súvisiacich s ruskými voľbami a o situácii vo východoukrajinskej metropole Charkov, čím podporovala neistotu medzi Ukrajincami doma aj v zahraničí.
Správa opisuje aj zneužitie zero-day zraniteľnosti v e-mailovom klientovi Roundcube skupinou Winter Vivern, ktorá podľa výskumníkov spoločnosti ESET koná v súlade so záujmami Bieloruska. Okrem toho ESET upozorňuje na kampaň na Blízkom východe, ktorú realizovala skupina SturgeonPhisher, o ktorej sa výskumníci ESET domnievajú, že operuje v súlade so záujmami Kazachstanu.
Produkty spoločnosti ESET chránia systémy zákazníkov pred škodlivými aktivitami opísanými v tejto správe. Uvedené informácie o hrozbách vychádzajú predovšetkým z vlastných telemetrických údajov spoločnosti ESET a boli overené výskumníkmi spoločnosti ESET. ESET poskytuje okrem verejného ESET APT Activity Reportu aj omnoho detailnejšiu správu ESET APT Report PREMIUM určenú pre organizácie zamerané na ochranu občanov či kritickej infraštruktúry. Poskytuje v nej hĺbkové technické detaily a pravidelné aktualizácie aktivít špecifických APT skupín. Viac informácií o službách ESET Threat Intelligence nájdete na tejto stránke.
Celý ESET APT Activity Report si môžete prečítať na tomto odkaze. Najnovšie odhalenia našich výskumníkov nájdete na sieti X (niekdajší Twitter) ESET research.