Za útokmi na Biely dom či NATO stojí zlyhanie zamestnancov

Experti na kyberbezpečnosť objasnili priebeh niektorých kybernetických útokov na medzinárodné organizácie či vlády, ktoré pripisujú hackerskej skupine známej aj ako APT 28, údajne podporovanej Ruskou federáciou. Útok umožnili zamestnanci, ktorí sa nechali nachytať na falošné spravodajské emaily.

Podľa analytikov spoločnosti Trend Micro, ktorá vyvíja bezpečnostný softvér pre servery a cloudové systémy mnohých globálnych spoločnosti, ako napríklad Amazon, hackerská skupina APT 28 v digitálnom priestore pôsobí už od roku 2007. Zameriava sa najmä na politickú a ekonomickú kybernetickú špionáž. Najväčšiu pozornosť si získala útokmi na NATO a pokusom o útok na Biely dom v januári 2015. Nakoľko používa viacero taktík a nástrojov pre útok na jeden špecifický cieľ, vžilo sa pre jej kampaň označenie „operation pawn storm“, podľa taktiky v hre šach.

Medzi ciele skupiny patria nielen vojenské a vládne organizácie západného sveta, ale aj obranný priemysel a médiá. V minulosti boli zaznamenané aj útoky na ruských disidentov a odporcov oficiálnej politiky Kremľa či na ukrajinských aktivistov a armádu. Práve výber cieľov podporuje podozrenie, že sa jedná o Kremľom podporovaného aktéra.

Medzi staršie typy útokov tejto skupiny patrilo infikovanie dokumentov a oficiálnych webových stránok obetí škodlivým malvérom. Takýto útok zaznamenala poľská vláda. Začiatkom roka však skupina prešla na nové spôsoby útokov, ktoré boli spojené s masívnym budovaním infraštruktúry teda falošných webových adries a riadiacich serverov. Novinkou je posielanie falošných emailov, ktoré sa tvária ako informačné správy od medzinárodnej organizácie, napríklad OSN. Okrem krátkeho textu obsahujú aj link na údajne legitímny informačno-spravodajský server.

Prvá fáza samotného útoku začína kliknutím na daný link, keď sa aktivuje skript, ktorý na riadiaci server zašle informácie o obeti. Ak obeť spĺňa kritériá, ktoré zadal útočník, a mohla by poslúžiť napríklad ako zdroj citlivých informácií, či správca zaujímavých dokumentov, útok pokračuje. Otvorí sa samotná stránka, ktorá predstiera, že na svoje správne fungovanie potrebuje inštalovať určitý plugin – softvér, vďaka ktorému stránka bude vedieť fungovať správne. Ponúknutý „plugin“ je však v skutočnosti sledovací softvér, ktorý po inštalácii (ak ju obeť dovolí) umožňuje útočníkovi získavať všetky želané informácie.

Odborníci z firmy Trend Micro sa zhodujú, že hrozba podobných útokov bude len narastať. Za jedinú obranu považujú zlepšovanie zabezpečenia jednotlivých vládnych sietí a počítačov. Avšak prízvukujú, že je nutné aj šírenie osvety a školenie jednotlivých užívateľov. Pretože aj napriek určitej sofistikovanosti sa jedná o útok, ktorému sa dá relatívne ľahko zabrániť. A to neklikaním na podozrivé odkazy v mailoch alebo neinštalovaním pluginov, ktoré nemajú uvedeného autora, prípadne nie sú overené.

Falošný, phisingový email:

phisining email

 

Falošná stránka s výzvou na inštaláciu pluginu:

plugin

Zdroje: trendmicro.com; securityaffairs.co

(JF)