Hekeri využili súčasnú ekonomickú situáciu a prepad cien ropy na spear-phishingové útoky proti štátom, pre ktoré je obchod s ropou a plynom kľúčový. Terčom dvoch rozsiahlych kampaní boli firmy z USA, Blízkeho východu, severnej Afriky, Filipín či Malajzie, informoval portál Wired.
V prvej kampani, ktorá sa začala ešte 31. marca, útočníci použili e-mailovú adresu podobnú egyptskej štátnej ropnej spoločnosti Enppi (Engineering for Petroleum and Process Industries). Prostredníctvom legitímne vyzerajúcich emailov od „známeho“ adresáta hekeri žiadali od príjemcov zaslanie cenovej ponuky pre projekt Rosetta Sharing Facilities pre zariadenia a materiály.
„Niekomu z ropného a plynárenského priemyslu, kto vie o týchto projektoch, sa e-mail a informácie v ňom mohli zdať dostatočne presvedčivé na to, aby otvoril prílohy,“ píše vo svojom blogu analytik spoločnosti Bitdefender Liviu Arsene.
Po otvorení priložených súborov sa však do počítačov adresátov nainštaloval spyvér Agent Tesla. Ten dokáže extrahovať citlivé údaje, kopírovať údaje zo schránky, snímať obrazovku či dokonca zbierať poverenia pre rôzne nainštalované aplikácie.
O dva týždne neskôr, v rámci druhej kampane, útočníci rozoslali filipínskym spoločnostiam e-maily so žiadosťou o vyplnenie potrebných dokumentov pre ropný tanker MT Sinar Maluku. Nielen že išlo o skutočnú loď zaregistrovanú pod indonézskou vlajkou, ale útočníci rozoslali správy práve v deň, kedy reálne vyplávala z prístavu.
„Tento e-mail je príkladom toho, ako ďaleko vedia útočníci zájsť, aby mohli pracovať s faktami, aby sa ich správy zdali ozajstné a aby ich mohli špeciálne navrhnúť pre svoju obeť.“
Medzi rokmi 2017 až 2019 stáli za podobnými útokmi na viaceré ropné spoločnosti iránski hekeri zo skupiny Elfin Team.
(DL)