Google odhalil pročínskou vlivovou síť podvodných webů
Americké vládní agentury a nevládní organizace se staly terčem nově vznikajícího čínského státního aktéra známého jako Storm-2077.
Tato skupina, která je pravděpodobně aktivní nejméně od ledna 2024, vedla kybernetické útoky také proti obranné průmyslové základně (DIB), letectví, telekomunikacím a finančním a právním službám po celém světě, uvedla společnost Microsoft. Zároveň dodala, že se toto seskupení aktivit překrývá se skupinou, kterou Insikt Group společnosti Recorded Future sleduje pod označením TAG-100.
Útočné řetězce zahrnovaly útoky na různá okrajová zařízení připojená k internetu s využitím veřejně dostupných exploitů k získání počátečního přístupu a spuštění Cobalt Strike nebo open-source malwaru, jako je Pantegana a Spark RAT.
V posledních deseti letech, po četných obviněních ze strany vlád a zveřejnění aktivit aktérů, je sledování a přiřazování kybernetických operací pocházejících z Číny stále náročnější, protože útočníci upravují své taktiky,
uvedl Microsoft. Storm-2077 prý organizuje zpravodajské mise s využitím phishingových e-mailů k získávání platných pověření spojených s aplikacemi eDiscovery pro následnou exfiltraci e-mailů, které by mohly obsahovat citlivé informace, jež by útočníkům umožnily pokročit v jejich operacích. V jiných případech bylo pozorováno, že Storm-2077 získává přístup do cloudových prostředí sběrem přihlašovacích údajů z napadených koncových bodů,
uvedla společnost Microsoft. Po získání administrátorského přístupu si Storm-2077 vytvořila vlastní aplikaci s právy pro čtení pošty.
Toto odhalení přichází v době, kdy skupina Threat Analysis Group (TAG) společnosti Google odhalila pro-čínskou vlivovou operaci nazvanou GLASSBRIDGE, která využívá síť neautentických zpravodajských webů a zpravodajských služeb k šíření zpráv, které jsou v souladu s názory a politickou agendou této země. Google uvedl, že od roku 2022 zablokoval více než tisíc webových stránek provozovaných GLASSBRIDGE, aby se zobrazovaly v jeho produktech Google News a Google Discover. Tyto neautentické zpravodajské weby provozuje malý počet samostatných digitálních PR firem, které nabízejí zpravodajské, syndikační a marketingové služby,
uvedla Vanessa Molterová, výzkumnice TAG. „Vydávají se za nezávislá média, která přetiskují články ze státních médií ČLR, tiskové zprávy a další obsah, který si pravděpodobně objednali jiní klienti PR agentur.“
Patří mezi ně společnosti známé jako Shanghai Haixun Technology (jejíž součástí je uskupení HaiEnergy), Times Newswire/Shenzhen Haimai Yunxiang Media (známá také jako kampaň PAPERWALL), Shenzhen Bowen Media a DURINBRIDGE, z nichž poslední je komerční firma distribuující obsah pro Haixun a DRAGONBRIDGE. Čínská marketingová firma Shenzhen Bowen Media údajně rovněž provozuje World Newswire, stejnou službu tiskových zpráv, kterou využívá společnost Haixun k umisťování propekingského obsahu na subdomény legitimních zpravodajských serverů, jak odhalila společnost Mandiant společnosti Google v červenci 2023.
Mezi identifikovanými subdoménami byly mimo jiné markets.post-gazette.com
, markets.buffalonews.com
, business.ricentral.com
, business.thepilotnews.com
a finance.azcentral.com
.
„Neautentické zpravodajské stránky provozované GLASSBRIDGE ukazují, jak aktéři informačních operací využívají ve snaze šířit své narativy i jiné metody než sociální média,“ uvedl Molter. „Tím, že se aktéři vydávají za nezávislé a často místní zpravodajské kanály, jsou schopni přizpůsobit svůj obsah konkrétnímu regionálnímu publiku a prezentovat své narativy jako zdánlivě legitimní zpravodajský a redakční obsah.“
Severokorejští hackeři na LinkedIn ukradli 10 milionů dolarů
Odhaduje se, že útočníci známí jako Sapphire Sleet napojení na Severní Koreu ukradli v rámci kampaní sociálního inženýrství organizovaných po dobu šesti měsíců kryptoměny v hodnotě více než 10 milionů dolarů.
Tato zjištění pocházejí od společnosti Microsoft, která uvedla, že bylo zaznamenáno několik skupin s vazbami na KLDR, které vytvářely falešné profily na síti LinkedIn a vydávaly se za náboráře i uchazeče o zaměstnání, aby generovaly nezákonné příjmy pro zemi postiženou sankcemi.
Skupina Sapphire Sleet, která je aktivní nejméně od roku 2020, se překrývá s hackerskými skupinami sledovanými jako APT38 a BlueNoroff. V listopadu 2023 Microsoft odhalil, že skupina vytvořila infrastrukturu, jež se vydávala za portály pro hodnocení dovedností, aby mohla provádět své kampaně sociálního inženýrství.
Jednou z hlavních metod, kterou skupina již více než rok používá, je vydávání se za spekulanta, který klamavě tvrdí, že má zájem o společnost cílového uživatele, aby si s ním domluvil online schůzku. Cílovým osobám, které naletí a pokusí se připojit ke schůzce, se zobrazí chybové zprávy, které je vyzývají, aby se obrátili na správce místnosti nebo na tým podpory a požádali o pomoc. Pokud se oběť spojí s aktérem, je jí v závislosti na použitém operačním systému zaslán soubor AppleScript ( .scpt
) nebo soubor Visual Basic Script ( .vbs
), který má údajný problém s připojením vyřešit. Skript je použitý ke stažení malwaru do napadeného počítače Mac nebo Windows, což útočníkům nakonec umožní získat přihlašovací údaje a peněženky s kryptoměnami pro následnou krádež.
Sapphire Sleet byl identifikován, když se na síti LinkedIn vydával za náboráře finančních firem, jako je Goldman Sachs, aby oslovil potenciální cíle a požádal je o vyplnění hodnocení dovedností umístěného na webové stránce pod jeho kontrolou. „Aktér pošle cílovému uživateli přihlašovací účet a heslo,“ uvedla společnost Microsoft. „Při přihlášení na webovou stránku a stažení kódu spojeného s hodnocením dovedností si cílový uživatel stáhne do svého zařízení malware, který útočníkům umožní získat přístup do systému.“
Redmond také označil vysílání tisíců IT pracovníků do zahraničí Severní Koreou za trojí hrozbu, která režimu vydělává peníze prostřednictvím „legální“ práce, umožňuje jim zneužít jejich přístup k získání duševního vlastnictví a usnadňuje krádeže dat výměnou za výkupné. „Jelikož je pro člověka v Severní Koreji obtížné zaregistrovat si takové věci, jako je bankovní účet nebo telefonní číslo, musí IT pracovníci využívat zprostředkovatele, kteří jim pomáhají získat přístup k platformám, kde se mohou ucházet o práci na dálku,“ uvádí se ve zprávě. „Tyto zprostředkovatele využívají IT pracovníci k úkolům, jako je vytvoření účtu na webové stránce s nabídkou práce na volné noze.“ To zahrnuje vytváření falešných profilů a portfolií na vývojářských platformách, jako je GitHub a LinkedIn, aby mohli komunikovat s náboráři a ucházet se o práci.
V některých případech bylo také zjištěno, že používají nástroje umělé inteligence (AI), jako je Faceswap, k úpravě fotografií a dokumentů ukradených obětem nebo k jejich zobrazení na pozadí profesionálně vypadajícího prostředí. Tyto fotografie jsou pak použity v životopisech nebo profilech, které jsou předkládány při žádostech o zaměstnání.
„Kromě využívání umělé inteligence k pomoci při vytváření obrázků experimentují severokorejští IT pracovníci i s dalšími technologiemi umělé inteligence, jako je například software pro změnu hlasu,“ uvedla společnost Microsoft. „Zdá se, že severokorejští IT pracovníci jsou velmi organizovaní, pokud jde o sledování přijatých plateb. Celkově se zdá, že si tato skupina svým úsilím vydělala nejméně 370 000 amerických dolarů.“
Microsoft, Meta a ministerstvo spravedlnosti narušily globální počítačovou kriminalitu
Společnosti Meta Platforms, Microsoft a americké ministerstvo spravedlnosti (DoJ) oznámily nezávislé akce zaměřené na boj proti počítačové kriminalitě a narušení služeb, které umožňují podvody a phishingové útoky.
Za tímto účelem oddělení Digital Crimes Unit (DCU) společnosti Microsoft uvedlo, že zabavilo 240 podvodných webových stránek spojených s egyptským zprostředkovatelem kybernetické kriminality jménem Abanoub Nady (známý také jako MRxC0DER a mrxc0derii), který inzeroval prodej phishingové sady s názvem ONNX. Nadyho trestná činnost údajně sahá až do roku 2017.
„Četní aktéři kyberzločinu a online hrozeb tyto sady zakoupili a používali je v rozsáhlých phishingových kampaních k obcházení dalších bezpečnostních opatření a pronikání do účtů zákazníků společnosti Microsoft,“ uvedl Steven Masada z DCU společnosti Microsoft. „Ačkoliv jsou ohrožena všechna odvětví, odvětví finančních služeb bylo vzhledem k citlivým údajům a transakcím, s nimiž nakládají, silně napadeno. V těchto případech může mít úspěšný phish pro oběti zničující důsledky.“
Službu ONNX, která je nabízena v rámci modelu phishing-as-a-service (PhaaS) za 150 až 550 dolarů měsíčně na šest měsíců, zdokumentovala začátkem letošního června společnost EclecticIQ a podrobně popsala schopnost této phishingové sady zobrazovat QR kódy vložené do souborů PDF, které nakonec oběti přesměrují na falešné přihlašovací stránky služby Microsoft 365.
Stojí za zmínku, že identita Nadyho byla odhalena společností DarkAtlas přibližně ve stejné době, což ji přimělo k náhlému ukončení činnosti. Společnost Microsoft sledovala majitele a provozovatele ONNX pod přezdívkou Storm-0867. Následně byl také předmětem upozornění amerického regulačního úřadu pro finanční průmysl (FINRA), který varoval, že sada ONNX je cílem finančních institucí, a uvedl, že dokáže obejít dvoufaktorové ověřování (2FA) zachycením požadavků 2FA.
Podle společnosti Microsoft nesla platforma PhaaS také další názvy, například Caffeine a FUHRER, a umožňovala zákazníkům provádět phishingové kampaně ve velkém měřítku. Sady propagované, prodávané a konfigurované téměř výhradně prostřednictvím služby Telegram, obsahovaly phishingové šablony a související technickou infrastrukturu. Microsoft uvedl, že získal občanskoprávní soudní příkaz ve východním okrese Virginie k neutralizaci škodlivé technické infrastruktury, čímž účinně přerušil přístup aktérů a zabránil tomu, aby tyto domény byly v budoucnu využívány k phishingovým útokům. Spolužalobcem společnosti Microsoft v jejím právním boji je společnost LF (Linux Foundation) Projects, LLC, která je vlastníkem ochranné známky ONNX, zkratky pro Open Neural Network Exchange, open-source runtime pro reprezentaci modelů strojového učení.
Tento vývoj přichází v době, kdy DoJ zveřejnilo uzavření tržiště PopeyeTools, které se zabývalo prodejem ukradených kreditních karet a dalších nástrojů pro provádění finančních podvodů. Současně byla vznesena obvinění proti třem jeho správcům z Pákistánu a Afghánistánu: Abdul Ghaffar, 25 let, Abdul Sami, 35 let, a Javed Mirza, 37 let.
Všechny tři osoby byly obviněny ze spiknutí za účelem spáchání podvodu s přístupovými zařízeními, obchodování s přístupovými zařízeními a navádění jiné osoby k poskytnutí přístupových zařízení. V případě odsouzení jim za každý ze tří trestných činů hrozí maximální trest 10 let odnětí svobody.
Tržiště ( www.PopeyeTools.com
, www.PopeyeTools.co.uk
a www.PopeyeTools.to
) podle ministerstva spravedlnosti fungovalo od roku 2016 jako online centrum pro prodej citlivých finančních údajů a dalších nelegálních nástrojů a přitahovalo tisíce uživatelů po celém světě, včetně těch, kteří byli spojeni s činností ransomwaru. Odhaduje se, že PopeyeTools prodal přístupová zařízení a osobní údaje (PII) nejméně 227 000 osob a vygeneroval příjmy ve výši nejméně 1,7 milionu dolarů. Její motto znělo „Věříme v kvalitu, ne v kvantitu“.
Některé z inzerovaných služeb zahrnovaly neoprávněné údaje o platebních kartách k provádění podvodných transakcí, ukradené informace o bankovních účtech, seznamy e-mailových spamů, šablony pro podvodníky, vzdělávací příručky a výukové programy. „Aby společnost PopeyeTools přilákala členy na tržiště, údajně slibovala vrácení peněz nebo výměnu zakoupených kreditních karet, které v době prodeje již nebyly platné,“ uvedlo DoJ. „Kromě toho PopeyeTools v různých obdobích poskytoval zákazníkům přístup ke službám, které bylo možné využít ke kontrole platnosti bankovního účtu, čísel kreditních nebo debetních karet nabízených prostřednictvím webových stránek.“
Ministerstvo dále uvedlo, že získalo soudní povolení k zabavení kryptoměn v hodnotě přibližně 283 000 USD z kryptoměnového účtu spravovaného Samim. Současně se zabavením ONNX a PopeyeTools Meta oznámila, že zrušila více než dva miliony účtů spojených s podvodnými centry v Kambodži, Myanmaru, Laosu, Spojených arabských emirátech a na Filipínách, které byly využívány k realizaci schémat porážky prasat.
Podvodné operace, které se odehrávají v podvodných sídlech v jihovýchodní Asii, jsou řízeny syndikáty organizovaného zločinu a často zahrnují budování důvěryhodných osobních a romantických vztahů s potenciálními cíli po celém světě pomocí platforem sociálních médií a seznamovacích aplikací a jejich manipulaci, aby vložili své těžce vydělané prostředky do falešných investic.
„Tato zločinecká podvodná centra lákají často nic netušící uchazeče o zaměstnání na příliš výhodné nabídky práce na místních pracovních fórech a náborových platformách, aby je pak nutila pracovat jako online podvodníci, často pod hrozbou fyzického násilí,“ uvedla Meta. Již v květnu se společnost spojila se společnostmi Coinbase, Ripple a Match Group, která vlastní Tinder a Hinge, a vytvořila koalici nazvanou Tech Against Scams, jejímž cílem je vymyslet způsoby, jak čelit nadnárodní hrozbě a dalším formám online podvodů. Společnost Google zase navázala spolupráci s organizacemi Global Anti-Scam Alliance (GASA) a DNS Research Federation (DNS RF) s podobnými cíli.
Ruští hackeři nasadili malwary HATVIBE a CHERRYSPY proti cílům v Evropě a Asii
Aktéři spojení s Ruskem jsou spojováni s kybernetickou špionážní kampaní zaměřenou na organizace ve střední a východní Asii a v Evropě.
Skupina Insikt Group společnosti Recorded Future, která tomuto uskupení přiřadila název TAG-110, uvedla, že se překrývá se skupinou sledovanou ukrajinským týmem pro reakci na počítačové hrozby (CERT-UA) jako UAC-0063, která se zase překrývá s APT28. Tato hackerská skupina je aktivní nejméně od roku 2021.
„Pomocí vlastních malwarových nástrojů HATVIBE a CHERRYSPY útočí TAG-110 především na vládní subjekty, skupiny pro lidská práva a vzdělávací instituce,“ uvedla ve čtvrteční zprávě společnost zabývající se kybernetickou bezpečností. „HATVIBE funguje jako loader pro nasazení CHERRYSPY, backdooru v jazyce Python, který se používá k exfiltraci dat a špionáži.“
Použití systémů HATVIBE a CHERRYSPY společností TAG-110 bylo poprvé zdokumentováno organizací CERT-UA již koncem května 2023 v souvislosti s kybernetickým útokem zaměřeným na státní orgány na Ukrajině. Obě rodiny malwaru byly znovu zaznamenány o více než rok později při průniku do nejmenované vědecko-výzkumné instituce v zemi.
Od té doby bylo identifikováno až 62 unikátních obětí v jedenácti zemích a významné incidenty se odehrály v Tádžikistánu, Kyrgyzstánu, Kazachstánu, Turkmenistánu a Uzbekistánu, což naznačuje, že Střední Asie je pro aktéra hrozeb hlavní oblastí, na kterou se pravděpodobně snaží shromáždit zpravodajské informace, které jsou podkladem pro geopolitické cíle Ruska v regionu. Menší počet obětí byl zjištěn také v Arménii, Číně, Maďarsku, Indii, Řecku a na Ukrajině.
Útočné řetězce zahrnují zneužití bezpečnostních chyb ve veřejných webových aplikacích (např. Rejetto HTTP File Server) a phishingových e-mailů jako počátečního přístupového vektoru pro spuštění HATVIBE, na míru vytvořeného zavaděče HTML aplikací, který slouží jako kanál pro nasazení zadních vrátek CHERRYSPY pro sběr a exfiltraci dat. „Snahy TAG-110 jsou pravděpodobně součástí širší ruské strategie s cílem shromažďovat zpravodajské informace o geopolitickém vývoji a udržovat si vliv v postsovětských státech,“ uvedla společnost Recorded Future. „Tyto regiony jsou pro Moskvu významné kvůli napjatým vztahům po ruské invazi na Ukrajinu.“
Předpokládá se, že Rusko po své plné invazi na Ukrajinu v únoru 2022 rovněž zintenzivnilo sabotážní operace v evropské kritické infrastruktuře, přičemž se zaměřilo na Estonsko, Finsko, Lotyšsko, Litvu, Norsko a Polsko s cílem destabilizovat spojence v NATO a narušit jejich podporu Ukrajině. „Tyto tajné aktivity jsou v souladu s širší ruskou strategií hybridní války, jejímž cílem je destabilizovat země NATO, oslabit jejich vojenské schopnosti a narušit politická spojenectví,“ uvedla společnost Recorded Future a označila tyto snahy za ‚vypočítavé a vytrvalé‘. „Vzhledem k tomu, že vztahy mezi Ruskem a Západem budou téměř jistě i nadále napjaté, je velmi pravděpodobné, že Rusko zvýší destruktivitu a smrtelnost svých sabotážních operací, aniž by překročilo práh války s NATO, jak o tom hovoří Gerasimovova doktrína. Tyto fyzické útoky budou pravděpodobně doplňovat ruské úsilí v oblasti kybernetických a vlivových operací v souladu s ruskou doktrínou hybridní války.“
O seriálu
Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD - Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…