Російські APT-групи продовжують атакувати Україну

0
379 views
Цілі APT-груп за країнами та галузями компаній
Цілі APT-груп за країнами та галузями компаній.

Компанія ESET підготувала огляд активності APT-груп протягом вересня-грудня 2022 року. За цей період пов’язані з росією APT-групи продовжували атакувати Україну, використовуючи для цього загрози для знищення інформації та програми-вимагачі.

Advanced persistent threat (APT) – розширена постійна загроза, широкий термін, який використовується для опису кампанії атаки, під час якої зловмисник або група зловмисників встановлює незаконну довгострокову присутність у мережі з метою видобутку дуже конфіденційних даних.

Варто зазначити, що APT-групи ― це угрупування висококваліфікованих хакерів, діяльність яких часто спонсорується певною державою. Їх метою зазвичай є отримання конфіденційних даних або проникнення в системи урядових установ, високопоставлених осіб чи стратегічних компаній.

Цілі APT-груп за країнами та галузями компаній
Цілі APT-груп за країнами та галузями компаній.

Sandworm

Зокрема в жовтні Україну знову атакувала пов’язана з росією група кіберзлочинців Sandworm, відома своїми атаками на українські організації та критичну інфраструктуру. Цього разу група націлилася на енергетичну компанію, використовуючи невідому програму NikoWiper для знищення інформації. Ця атака сталася в жовтні в той самий період, коли російські військові почали завдавати ракетних ударів по енергетичній інфраструктурі. Хоча довести координацію цих подій складно, ймовірно, Sandworm і російська армія мають схожі цілі.

Крім шкідливого програмного забезпечення, яке знищує інформацію, дослідники ESET виявили атаки Sandworm з застосуванням програм-вимагачів. Однак на відміну від традиційних атак цього виду шкідливих програм, зловмисники Sandworm націлювалися на знищення даних та не мали наміру надавати ключ для розшифрування інформації.

Зокрема у жовтні 2022 року спеціалісти ESET виявили атаку програми-вимагача Prestige на логістичні компанії в Україні та Польщі. А в листопаді 2022 року ESET зафіксувала нову програму-вимагач RansomBoggs, націлену на українські організації.

Інші групи

Разом із Sandworm інші російські APT-групи, такі як Callisto та Gamaredon, продовжили атакувати українських користувачів з метою викрадення облікових даних та встановлення шкідливих компонентів. Зокрема група Callisto здійснювала спроби крадіжки даних для входу в пошту, зареєструвавши для цього десятки підробних доменів. Тоді як Gamaredon поширювала небезпечні листи зі шкідливими вкладеннями.

Крім цього, деякі групи, пов’язані з Китаєм, розширили перелік своїх цілей, зокрема кіберзлочинці Goblin Panda тепер почали цікавитися європейськими країнами, як і Mustang Panda. У листопаді минулого року дослідники ESET виявили новий бекдор Goblin Panda в урядовій організації Європейського Союзу. При цьому, Mustang Panda також продовжує атакувати європейські установи. У вересні минулого року кіберзлочинці атакували організації в енергетичному та інженерному секторі Швейцарії з використанням шкідливої програми Korplug.

Кіберзлочинці, пов’язані з Іраном, зокрема група POLONIUM також продовжила свої атаки, націлюючись не лише на ізраїльські компанії, а й на їх іноземні дочірні підприємства. Тоді як зловмисники, пов’язані з Північною Кореєю, використовували старі експлойти, щоб скомпрометувати криптовалютні фірми та біржі в різних частинах світу.

Рекомендації

У зв’язку з небезпекою атак на українських користувачів спеціалісти ESET рекомендують дотримуватися основних правил кібербезпеки, зокрема для захисту від популярних фішингових атак використовувати надійні паролі та двофакторну автентифікацію, вчасно оновлювати програмне забезпечення та забезпечити багаторівневий захист пристроїв від сучасних кіберзагроз.