Hackeri, ktorí zasiahli zimné olympijské hry 2018 stále žijú a ďalej pracujú

Skupina, ktorá za ňou stojí, je stále nažive, pracuje a teraz bola zameraná na laboratóriá na prevenciu biologických a chemických hrozieb v Európe a na Ukrajine a niekoľko finančných organizácií v Rusku. Začiatkom tohto roka skupina neznámych hackerov zacielená na zimné olympijské hry v roku 2018, ktorá sa konala v Južnej Kórei, používala ničivý malware, ktorý zámerne vysádzal sofistikované falošné vlajky, aby zavádzal výskumníkov do misie.

Bohužiaľ, ničivý škodlivý softvér bol do určitej miery úspešný, prinajmenšom počas niekoľkých nasledujúcich dní, keďže hneď po útoku rôzni výskumní pracovníci v oblasti bezpečnosti odobrali škodlivý softvér olympijských torpédoborcov a začali pripísať útok na rôzne národné hackerské skupiny zo Severnej Kórey a Číny. Neskôr vedci ruského predajcu antivírusov Kaspersky Labs odhalili viac podrobností o útoku vrátane dôkazov o falošných autorských príkazoch a dospeli k záveru, že celý útok bol majstrovskou operáciou v podvode.

Teraz podľa novej správy, ktorú dnes zverejnila spoločnosť Kaspersky Labs, bola v máji a júni 2018 zistená tá istá skupina hackerov, ktorá ešte nie je pripísaná, zameraná na organizácie v Rusku, na Ukrajine a v niekoľkých európskych krajinách, konkrétne na tie organizácie, ktoré reagujú na chrániť pred biologickými a chemickými hrozbami.

Nové útoky zdieľajú podobnosti s olympijským torpédoborcom

Počas vyšetrovania výskumníci zistili, že exploatácia a podvodné taktiky, ktoré používa novo objavená kampaň, majú mnoho podobností s útokom olympijských torpédoborcov.

V máji až júni 2018 sme objavili nové dokumenty, ktoré sa veľmi podobajú dokumentom o kopírovaní oštepov, ktoré sa v minulosti veľmi podobali zbrojným dokumentom, ktoré v minulosti používal olympijský ničiteľ, povedali vedci. Pokračujú v používaní non-binárneho spustiteľného vektora infekcie a zabalených skriptov, aby sa vyhli detekcii.

Rovnako ako olympijský torpédoborec, nový útok sa zameriava aj na používateľov pridružených k určitým organizáciám, ktoré používajú e-maily s podvodným kopírovaním, ktoré sa objavujú ako známe, s priloženým dokumentom. Ak obete otvoria škodlivý dokument, využívajú makrá na prevzatie a spúšťanie viacerých skriptov PowerShell na pozadí a nainštalujú konečné užitočné zaťaženie v tretej etape na získanie diaľkového ovládania systému obetí. Výskumníci zistili, že technika, ktorá sa používa na zamaskovanie a dešifrovanie škodlivého kódu, je rovnaká, ako sa používa v pôvodnej kampani Phishing o šírení oštepov.

Druhý fázový skript zakazuje zaznamenávanie skriptov Powershell, aby sa vyhli zanechaniu stopy a potom sa stiahne konečná záťažová zložka “agentu Powershell Empire”, ktorá umožňuje bez zrejmú kontrolu kompromitovaných systémov cez šifrovaný komunikačný kanál.

Hackeri sú zameraní na laboratóriá na prevenciu biologických a chemických hrozieb

Podľa výskumníkov sa skupina pokúsila získať prístup k počítačom v krajinách vrátane Francúzska, Nemecka, Švajčiarska, Ruska a Ukrajiny.

Výskumníci našli dôkazy o tom, že hackeri sa primárne zameriavajú na ľudí spojených s blížiacou sa konferenciou o biochemických hrozbách nazvanou Spiez Convergence, ktorá sa konala vo Švajčiarsku a organizovala spoločnosť Spiez Laboratory.

Spoločnosť Spiez Laboratory zohrala dôležitú úlohu pri vyšetrovaní otravy bývalého ruského špióna v Spojenom kráľovstve v marci. Spojené kráľovstvo a USA uviedli, že Rusko je za otrávením a vyhnalo desiatky ruských diplomatov. Ďalším dokumentom zameraným na Ministerstvo zdravotníctva na Ukrajine.

Ešte nie je známe, kto je za týmito útokmi, ale spoločnosť Kaspersky radí všetkým organizáciám zabraňujúcim biochemickým hrozbám a výskumným organizáciám, aby posilnili svoju IT bezpečnosť a spustili neplánované bezpečnostné audity.

Pridaj komentár

Vaša e-mailová adresa nebude zverejnená. Vyžadované polia sú označené *