Charlie Osborne Bidragyder
Charlie Osborne er en cybersikkerhedsjournalist og fotograf, der skriver for ZDNet og CNET fra London.
Fuld biografi Udgivet i Zero Day den 4. februar 2022 | Emne: Sikkerhed
En sofistikeret cyberkriminel gruppe fra Rusland er blevet taget i at forsøge at angribe et vestligt regeringsudstyr beliggende i Ukraine.
På et tidspunkt, hvor spændingerne mellem Rusland og Ukraine er høje, er verdens ledere bekymrede over, at førstnævnte har til hensigt at invadere, er der allerede digital krigsførelse ved hånden.
I de seneste uger har Ukraine været udsat for skænkning og manipulation af adskillige regeringsdrevne websteder, Microsofts Threat Intelligence Center (MSTIC) har advaret om, at ødelæggende malware bliver brugt i overfald mod ukrainske organisationer, og det amerikanske finansministerium har sanktioneret ukrainske statsborgere for angiveligt forsøger at hjælpe med at skabe “ustabilitet” forud for en potentiel invasion.
Det Forenede Kongeriges nationale cybersikkerhedscenter (NCSC) opfordrer også organisationer til at øge deres forsvar i lyset af de seneste cyberangreb mod Ukraine.
Nu har forskere fra Palo Alto Networks afsløret igangværende aktivitet mod Ukraine udført af Primitive Bear/Gamaredon, en avanceret vedvarende trussel (APT) gruppe af russisk oprindelse.
Teamet siger, at selvom der ikke er beviser for, at Primitive Bear er ansvarlig for nogen af de seneste, offentliggjorte angreb, som “en af de mest aktive eksisterende avancerede vedvarende trusler rettet mod Ukraine, forventer vi, at vi vil se yderligere ondsindede cyberaktiviteter i løbet af de kommende uger, efterhånden som konflikten udvikler sig.”
Også: Arid Viper-hackere angriber Palæstina med politiske lokker og trojanske heste
Siden 2013, før Rusland annekterede Krim, har Primitive Bear været fokuseret på angreb mod ukrainske regeringsembedsmænd og organisationer i landet.
Palo Altos Unit 42 har sporet APT lige siden og har nu kortlagt tre klynger brugt i kampagner, der linker til over 700 ondsindede domæner, 215 IP-adresser og et værktøjssæt med over 100 malware-eksempler.
Den 19. januar forsøgte Primitive Bear at angribe netværkene i en unavngiven “vestlig regeringsenhed” i Ukraine.
Den indledende angrebsvektor er interessant: I stedet for at sende en typisk phishing-e-mail, søgte angriberne efter en aktiv stillingsopslag på afdelingen og uploadede en ondsindet downloader i et CV.
“I betragtning af de trin og præcisionsleveringer, der er involveret i denne kampagne, ser det ud til, at dette kan have været et specifikt, bevidst forsøg fra Primitive Bear/Gamaredon på at kompromittere denne vestlige regeringsorganisation,” bemærker forskerne.
Der er også beviser for, at Primitive Bear har målrettet Ukraines statslige migrationstjeneste med phishing-e-mails.
Som afsløret af CERT Estonia (.PDF) har APT tidligere brugt ondsindede makroer i .dox/.dot-skabelonvedhæftninger til at udføre wiper-malware.
“Da internationale spændinger omkring Ukraine forbliver uløste, vil Gamaredons operationer sandsynligvis fortsætte med at fokusere på russiske interesser i regionen,” siger Palo Alto. “Selvom vi har kortlagt tre store klynger af aktuelt aktiv Gamaredon-infrastruktur, tror vi, at der er mere, der forbliver uopdaget.”
Har du et tip? Kom sikkert i kontakt via WhatsApp | Signal på +447713 025 499 eller over på Keybase: charlie0
Sikkerhed
Usikret AWS-server afsløret 3 TB i lufthavnens medarbejderregistre Sådan finder og fjerner du spyware fra din telefon Microsoft: Sådan stoppede vi det største DDoS-angreb nogensinde. Den bedste antivirussoftware og -apps: Hold din pc, telefon, tablet sikker Sådan er teknologi et våben i moderne misbrug i hjemmet Sikkerheds-tv | Datastyring | CXO | Datacentre