Hackerská skupina Cloud Atlas útočí na ruské a běloruské subjekty

V Rusku se hackerská skupina Cloud Atlas zaměřila na vládní sektor, energetiku a kovoprůmysl / Pixabay
Bezpečnostní experti upozorňují, že kyberšpionážní skupina Cloud Atlas (neboli Inception) se v souvislosti s válkou zaměřuje na nové cíle.

Skupina byla poprvé objevena v roce 2014 a má na svědomí dle výzkumného týmu  společnosti Check Point Software Technologies řadu vysoce cílených útoků na kritickou infrastrukturu po celém světě. V letech 2020-2021 útočila na ministerstva, diplomatické subjekty a průmyslové cíle po celém světě, včetně západní a jihovýchodní Asie a Evropy. Taktika, techniky a postupy skupiny zůstávají relativně neměnné.

Ovšem za začátku konfliktu mezi Ruskem a Ukrajinou v roce 2021 a zejména po vypuknutí války v únoru 2022 se aktivity skupiny výrazně zúžily a zaměřily na vládní, diplomatické, výzkumné a průmyslové subjekty Ruska, Běloruska a konfliktní oblasti na Ukrajině a v Moldavsku.

Některé důkazy naznačují, že skupina provedla několik úspěšných útoků a podařilo se jí získat plný přístup do cílových organizací. Od června 2022 jsme byli svědky několika kampaní zaměřených na velmi konkrétní cíle v Bělorusku, především v dopravním a vojenském radioelektronickém sektoru, v Rusku se zaměřila na vládní sektor, energetiku a kovoprůmysl.

Zajímavé je, že kromě obvyklého malwaru, používaného touto skupinou, byl objeven i zcela nový hackerský nástroj. Do infikovaných systémů skupina instaluje nejen svůj tradiční špionážní škodlivý kód, ale používá také DLL knihovnu k proxy připojení přes počítač oběti.

Ve spearphishingových kampaních zaměřených na ruská ministerstva napodobují útočníci například zprávy a dokumenty ministerstva zahraničních věcí. Při útocích na běloruské subjekty byl použit dokument „Komplexní analýza ekonomické a finanční činnosti obchodní organizace“.

Při útocích na vládní a energetický sektor používá Cloud Atlas například „Usnesení vlády Ruské federace o uplatňování právních předpisů v oblasti atomové energie v Záporožské oblasti“.

Cloud Atlas používá jednoduchou, ale účinnou metodu sociálního inženýrství a ke kompromitaci cílů využívá spearphishingové e-maily. V první fázi útoku jde o wordové dokumenty se vzdálenými šablonami, které jsou nějak zajímavé pro konkrétní cíl, díky čemuž jsou phishingové dokumenty téměř neodhalitelné.

Skupina je velmi aktivní a úspěšná, i když své taktiky a techniky upravuje jen drobně. Navíc nejen že se jim daří infiltrovat do cílových systémů, ale svůj přístup rozšiřují na mnohem rozsáhlejší doménu, aby mohli zasažené operace využít k dalším operacím.

Zdroj: Check Point Software Technologies

#hackeři #Cloud Atlas #malware #kód #Rusko

Mohlo by vás zajímat

Reklama

PC / Notebooky

Podvody s falešnými přenosy z pohřebních obřadů jsou stále častější, varují experti

Lukáš Bauer

PC / Notebooky

Optický 10gigabitový switch SX3032F s vysokou přenosovou rychlostí

Martin Pokorný