Govora je o visoko usposobljeni ruski hekerski skupini APT28. Platforma za obveščanje o grožnjah IBM X-Force skupino spremlja pod imenom ITG05, vendar pa je ta javnosti poznana tudi pod imeni Fancy Bear, Forest Blizzard (prej Strontium), Frozenlake, Iron Twilight, Sednit, Sofacy in TA422. Nekateri viri namigujejo, da bi lahko bila skupina povezana tudi z znano hekersko skupino Anonymous.
Po poročanju portala The Hacker News naj bi podatki kazali na to, da ruski akter uporablja številne vabe, povezane predvsem s trenutno vojno med Izraelom in Hamasom, da bi na ta način državne institucije in organizacije ukanil in pridobil dostop do zaupnih podatkov.
"Na novo odkrita kampanja je usmerjena proti tarčam v najmanj 13 državah po vsem svetu in uporablja verodostojne dokumente, ki so jih ustvarili akademski, finančni in diplomatski centri," so povedali raziskovalci varnosti Golo Mühr, Claire Zaboeva in Joe Fasulo. Na seznamu tarč so se znašle Madžarska, Turčija, Avstralija, Poljska, Belgija, Ukrajina, Nemčija, Azerbajdžan, Savdska Arabija, Kazahstan, Italija, Latvija in Romunija.
Hekerji "vabe" pošiljajo predvsem evropskim subjektom, ki imajo neposreden vpliv na dodeljevanje humanitarne pomoči, pri tem pa uporabljajo dokumente, povezane z Združenimi narodi, Banko Izraela, raziskovalno službo ameriškega kongresa, Evropskim parlamentom, ukrajinskim think tankom ali azerbajdžansko-belorusko medvladno komisijo.
V nekaterih napadih so uporabili tudi arhive RAR in izkoristili napako WinRARa (imenovano CVE-2023-38831), s pomočjo katere so skušali razširiti t. i. HeadLace – večkomponentno zlonamerno programsko opremo, ki torej na več načinov skuša pridobiti občutljive podatke. Da uporabljajo HeadLace, je prvi odkril ukrajinski nacionalni odzivni center za kibernetsko varnost (CERT-UA), potem ko so hekerji napadli kritično državno infrastrukturo.
To, da kot vabe uporabljajo uradne dokumente, je sicer novost, ki pa po besedah zgoraj omenjenih strokovnjakov kaže na to, da ITG05 resnično cilja na specifično izbrane tarče s točno določenimi interesi, da bi bile možnosti za uspeh večje.
CERT-UA pa je sicer še enega akterja UAC-0050 povezal z obsežnim phishing napadom na Ukrajino in Poljsko prek e-pošte, pri katerem so uporabili zlonamerno programsko opremo Remcos RAT in Meduza Stealer.
KOMENTARJI (73)
Opozorilo: 297. členu Kazenskega zakonika je posameznik kazensko odgovoren za javno spodbujanje sovraštva, nasilja ali nestrpnosti.