Ruská státem podporovaná hackerská skupina APT28, známá také pod názvy Fancy Bear nebo Forest Blizzard, stojí za novou kybernetickou špionážní kampaní, v níž využívá dosud neznámý malware označovaný jako PRISMEX. Útoky jsou namířeny především proti ukrajinským vládním institucím a organizacím v zemích NATO.
Co je PRISMEX a jak funguje?
PRISMEX je modulární malware, který útočníkům umožňuje vzdálený přístup k napadeným systémům, exfiltraci citlivých dat a dlouhodobé skryté sledování cílů. Škodlivý kód se šíří prostřednictvím spear-phishingových e-mailů obsahujících zákeřné přílohy, které se tváří jako legitimní dokumenty. Po otevření přílohy dojde k tichému spuštění škodlivého kódu na pozadí, přičemž uživatel si útoku zpravidla vůbec nevšimne.
Malware je navržen tak, aby se co nejdéle vyhnul odhalení bezpečnostními nástroji. Využívá pokročilé techniky obfuskace a komunikuje se svými řídicími servery šifrovaným způsobem, který napodobuje běžný síťový provoz.
Cíle a rozsah kampaně
Kampaň je geograficky zaměřena zejména na:
- Ukrajinu – vládní ministerstva, obranné složky a kritická infrastruktura
- členské státy NATO – především východní křídlo aliance, tedy Polsko, pobaltské státy a Rumunsko
- mezinárodní organizace zabývající se pomocí Ukrajině
Bezpečnostní výzkumníci upozorňují, že útoky vykazují charakteristické znaky operací APT28 – precizní výběr cílů, důkladná příprava a využití geopoliticky relevantních témat jako návnady v phishingových zprávách.
Vazba na APT28 a ruskou vojenskou rozvědku
APT28 je dlouhodobě spojována s ruskou vojenskou rozvědkou GRU, konkrétně s jednotkou 26165. Tato skupina je zodpovědná za řadu závažných kybernetických operací, včetně útoků na volební infrastrukturu v různých zemích, průniků do systémů NATO či hacku Demokratického národního výboru v USA v roce 2016.
Nová kampaň s malwarem PRISMEX zapadá do širšího vzorce aktivit skupiny, která v posledních letech výrazně zintenzivnila svoji činnost v souvislosti s probíhajícím konfliktem na Ukrajině.
Organizace působící v sektorech, které jsou typickými cíli APT28, by měly věnovat zvýšenou pozornost bezpečnostnímu monitoringu a neprodleně hlásit jakékoliv podezřelé aktivity příslušným bezpečnostním složkám.
Zdroj: thehackernews.com
Zdroj: IT SECURITY NETWORK NEWS
