Hakerzy odpowiedzialni za jeden z największych ataków ostatnich lat powracają. Tym razem za cel obrali popularne usługi przestrzeni dyskowej.
Uważaj na Dysk Google i Dropbox! Rosyjscy hakerzy ukrywają w nich złośliwe oprogramowanie
Pamiętacie jeszcze aferę z hakerami wykorzystującymi SolarWinds Orion, których śmiałe przedsięwzięcie nazwano największym atakiem cyberprzestępczym ostatnich lat? Cóż, wszystko wskazuje na to, że powiązana z Rosją grupa powróciła. Tym razem jednak za cel obrali Dysk Google, za pomocą którego przemycają złośliwe oprogramowanie.
Wyciek danych z kilkunastu tysięcy firm i instytucji
SolarWinds Orion to oprogramowanie służące do zarządzania sieciami firmowymi. Dwa lata temu powiązani z Rosją hakerzy wykorzystali aplikację do infiltrowania wewnętrznych systemów wielu firm i instytucji. W ataku ucierpieli między innymi tacy giganci jak Microsoft, a także organizacje powiązane z rządem Stanów Zjednoczonych, w tym Pentagon, FBI czy Departament Bezpieczeństwa. Poważnych wycieków danych doświadczyło przeszło 18 tysięcy podmiotów, a całkowite pozbycie się szkodliwego oprogramowania było bardzo trudne.
Google Drive i Dropbox użyte do przenoszenia złośliwych wirusów
Według badaczy z Unit 42 – jednostki zajmującej się wykrywania sieciowych zagrożeń w firmie Palo Alto Networks – grupa hakerska znana jako APT29 i Cozy Bear, powiązana z atakami SolarWinds, zaczęła używać chmury Google do roznoszenia wirusa.
„To nowa taktyka, która okazuje się trudna do wykrycia ze względu na wszechobecny charakter tych usług i fakt, że cieszą się zaufaniem milionów klientów na całym świecie. Gdy korzystanie z zaufanych usług jest połączone z szyfrowaniem, jak widzimy tutaj, organizacjom niezwykle trudno jest wykryć złośliwą aktywność w związku z kampanią” – badacze z Unit 42
Czytaj dalej poniżej
Taktyka zaszywania złośliwego oprogramowania na Dysku Google została po raz pierwszy użyta w atakach na systemy ambasady Portugalii i Brazylii, trwających od początku maja do końca czerwca. W obu przypadkach dokumenty phishingowe zawierały odsyłacz do szkodliwego pliku HTML (EnvyScout). Odsyłacz posłużył jako dropper dla dodatkowych szkodliwych plików, takich jak Cobalt Strike, czyli narzędzia służącego do symulowania ataków na sieci komputerowe. W nieodpowiednich rękach przyczynia się do wyprowadzania wielostopniowych i długotrwałych ataków APT.
Hakerzy wykorzystują także inny popularny dysk, Dropbox. Posłużył on do wyprowadzania ataków na dyplomatów i agencje rządowe. Właściciel usługi poinformował, że konta powiązane z włamaniami zostały natychmiastowo zablokowane.
Kraje członkowskie Unii zagrożone
Powiązani z Rosją hakerzy nie próżnują także w kwestii nękania broniących się Ukraińców. Według grupy TAG – zajmującej się analizą zagrożeń w Google – hakerzy z grupy Turla złapali naszych wschodnich sąsiadów w pułapkę. Wykorzystują aplikacje CyberAzov, która miała pomóc w dokonywaniu ataków DDoS na Rosję, do rozpowszechniania złośliwego oprogramowania na urządzeniach pracujących na systemie Android.
Przed intensywną działalnością rosyjskich cyberprzestępców ostrzega także Rada EU, informując w oficjalnym komunikacie o zagrożeniu czyhającym na państwa członkowskie. Unia wzywa podmioty odpowiedzialne za cyberbezpieczeństwo do podjęcia środków zapobiegawczych w celu ochrony krytycznej infrastruktury i podnoszenia świadomości o zagrożeniach ze strony powiązanych z Rosją hakerów.
Stock image from Depositphotos
Hej, jesteśmy na Google News - Obserwuj to, co ważne w techu