Za útokmi na sedemnásť amerických firiem sú zrejme opäť čínski hekeri

Za útokmi na sedemnásť amerických firiem sú zrejme opäť čínski hekeri

Páchatelia od poslednej akcie vylepšili svoje phishingové techniky.

Čínska skupina APT10, známa aj ako menuPass alebo Stone Panda, pravdepodobne stojí za najnovšími útokmi proti americkému sektoru verejných služieb. Phishingová kampaň z augusta nadväzuje na predošlé útoky proti americkým firmám z tohto roku.

Útočníci posielali svojim obetiam phishingové e-maily, v ktorých sa vydávali za certifikačnú službu Global Energy Certification. Adresátov vyzývali, aby vypracovali internetový test pre študentov a profesionálov z energetického sektora zaslaný vo wordovom dokumente.

Súbor „take the exam now.doc“ (otestuj sa teraz) obsahoval VBS makrá, ktoré po spustení nainštalovali malvér LookBack. Tento škodlivý program patrí medzi takzvané trójske kone pre vzdialenú správu (Remote Access Trojan – RAT).

Od apríla tohto roku bolo podľa kyberbezpečnostnej firmy Proofpoint terčom série podobných útokov najmenej sedemnásť subjektov kritickej infraštruktúry USA. Pri všetkých útočníci použili taktiky, techniky a postupy, ktoré sa zhodovali s modus operandi čínskej skupiny APT10.

E-mail, ktorý útočníci posielali svojim obetiam (Zdroj: Proofpoint).

Hekeri však od predchádzajúcich útokov, keď sa vydávali za Národnú radu komisárov pre inžinierstvo a geodéziu, vylepšili svoje phishingové techniky. Tentoraz posielali okrem infikovaného wordového dokumentu aj neškodný PDF dokument so študijnou príručkou k testu. 

„Miešaním neškodného obsahu s tým nebezpečným a cielením na konkrétnu užívateľskú základňu s uveriteľnými správami je podstatne väčšia šanca na úspech,“ tvrdí Zak Doffman, zakladateľ firmy Digital Barriers, ktorá vyvíja sledovacie systémy.

Okrem toho útočníci využili nové maskovacie metódy, ktoré mali zabrániť tomu, aby ich odhalili.

Postupy sa menia každý štvrťrok 

Skupina menuPass pravdepodobne stála aj za útokmi na telekomunikačných operátorov z celého sveta, o ktorých médiá informovali koncom júna. Počas operácie Softcell mali hekeri v priebehu siedmich rokov ukradnúť citlivé informácie o vysokopostavených politikoch a vojenských hodnostároch. Svoje postupy menili približne každé tri až štyri mesiace.

„Nikdy sme nepočuli o takej masívnej kyberspionážnej schopnosti monitorovať pohyb a aktivitu osôb naprieč viacerými krajinami,“ povedal vtedy šéf americko-izraelskej bezpečnostnej spoločnosti Cybereason Lior Div.

(VK)