Vírusový radar / Ako čínska skupina využila japonské Expo 2025, aby napadla stredoeurópsky inštitút

Mesiac sa s mesiacom zišiel a s ním najnovšie vydanie Nextechu a  pravidelných noviniek z nášho Virus Labu. Rovnako ako svet naberá na obrátkach, ani v našom kybernetickom svete nie je núdza o aktuality ani o nové triky kybernetických zločincov a kyberšpionážnych skupín.

Začneme teda kybernetickou špionážou a skupinou MirrorFace, ktorá je napojená na Čínu. Náš výskumník Dominik Breitenbacher skúmal jej útok proti diplomatickému inštitútu v strednej Európe v súvislosti s výstavou Expo 2025, ktoré sa tento rok bude konať v Osake v Japonsku. MirrorFace je známa predovšetkým svojimi kyberšpionážnymi aktivitami proti organizáciám v Japonsku, ale teraz sa stalo prvýkrát, čo MirrorFace prenikla do európskej organizácie. Kampaň sme nazvali Operácia AkaiRyū (po japonsky Červený drak).

S napadnutým diplomatickým inštitútom sme spolupracovali a vykonali forenzné vyšetrovanie, ktoré našim výskumníkom poskytlo významný hĺbkový pohľad na aktivity po útoku, ktoré by inak zostali neviditeľné.

Útočníci MirrorFace pripravili svoj spearphishingový útok vytvorením e-mailovej správy, ktorá odkazovala na predchádzajúcu legitímnu odchytenú interakciu medzi týmto inštitútom a japonskou mimovládnou organizáciou. Počas tohto útoku použil útočník nadchádzajúce svetové Expo 2025 ako návnadu. Dokazuje to, že aj napriek tomuto novému širšiemu geografickému zameraniu zostáva skupina MirrorFace zameraná na Japonsko a udalosti s ním súvisiace. Obeťou však nebol iba stredoeurópsky inštitút. Skupina MirrorFace sa v tejto kampani zamerala aj na dvoch zamestnancov japonského výskumného inštitútu, pričom použila škodlivý dokument Word chránený heslom.

Počas analýzy operácie AkaiRyū sme v Labe zistili, že MirrorFace výrazne zlepšila svoje taktiky, techniky a procedúry. Začala napríklad používať dlho zabudnutý backdoor ANEL. Ten podporuje základné príkazy na manipuláciu so súbormi, doručovanie a spúšťanie payloadov (malvér alebo jeho časť, ktorá vykonáva škodlivé aktivity) či snímanie obrazovky.

Okrem toho MirrorFace nasadila značne prispôsobený variant verejne dostupného škodlivého kódu AsyncRAT. RAT (Remote Access Trojan) je typ škodlivého softvéru, ktorý umožňuje útočníkovi vzdialený prístup a kontrolu nad infikovaným zariadením. MirrorFace AsyncRAT upravil tak, aby sa spúšťal pri každom naštartovaní počítača a otváral sa vo Windows Sandboxe. Sandbox je pritom izolované prostredie, ktoré umožňuje bezpečné spúšťanie kódu. Táto metóda tak účinne zakrýva škodlivé aktivity a limituje bezpečnostné kontroly pri detekcii útoku.

Medzi júnom a septembrom 2024 sme zaznamenali ako MirrorFace vykonáva viacero spearphishingových kampaní – cieleného typu phishingového útoku, pri ktorom útočník posiela podvodné e-maily konkrétnym jednotlivcom alebo organizáciám. Útočníci primárne získali počiatočný prístup tým, že oklamali ciele, aby otvorili škodlivé prílohy alebo odkazy, a potom využili legitímne aplikácie a nástroje na tajnú inštaláciu svojho malvéru. Konkrétne v operácii AkaiRyū MirrorFace zneužila aplikácie vyvinuté spoločnosťou McAfee a takisto jednu vyvinutú spoločnosťou JustSystems na spustenie backdooru ANEL. 

Inú zaujímavú analýzu priniesol na spravodajskom portáli ESETu WeLiveSecurity.com náš britský dopisovateľ Phil Muncaster. Analyzuje, prečo osobné údaje až 44 % poslancov Európskeho parlamentu a 68 % britských poslancov skončili na dark webe. Mnohí sa totiž prihlásili do online účtov pomocou svojej oficiálnej e-mailovej adresy a zadali ďalšie osobne identifikovateľné informácie. Následne už mohli cítiť len bezmocnosť, pretože daný externý poskytovateľ služieb sa stal obeťou kybernetických zločincov, ktorí potom zdieľali alebo predali tieto údaje iným používateľom dark webu.

Nanešťastie sa to netýka len politikov alebo iných verejne známych osôb a nejde o jediný spôsob, ako sa údaje môžu dostať do temných zákutí internetu. Obeťou môže byť každý – možno aj v prípade, keď robíme všetko správne. Stáva sa to často. Preto sa oplatí dávať si pozor na svoju digitálnu stopu a údaje, ktoré sú pre vás najdôležitejšie.

Existuje pritom niekoľko spôsobov, ako vaše informácie môžu skončiť na fórach alebo marketoch dark webu. Niektoré môžu byť dôsledkom nedbanlivosti, za iné ani nenesieme zodpovednosť. Patria medzi ne úniky údajov v organizáciách tretích strán, phishingové útoky či napadnutie malvérom kradnúcim informácie. Obľúbeným spôsobom útočníkov je aj slovníkový útok (online účet je napadnutý prostredníctvom útoku hrubou silou), zvyyčajne si vtedy používateľ nezvolil dostatočne silné heslo.

Ak využívate službu na ochranu identity alebo monitorovania dark webu v riešeniach ESETu, mala by automaticky označiť všetky osobné alebo iné údaje nájdené na takýchto stránkach. Technologické spoločnosti, ako sú Google a Mozilla, vás tiež upozornia, keď je uložené heslo súčasťou úniku údajov. Prípadne vás vyhľadávače vyzvú aktualizovať heslo na bezpečnejšiu, ťažšie uhádnuteľnú verziu.

Ako pripomína Phil, krádež osobných údajov či identity nie je vôbec príjemná. Môže to byť traumatizujúci a stresujúci zážitok, ktorý sa ťahá týždne či mesiace, kým sa vyrieši. Celý jeho rozsiahly text si môžete prečítať na Welivesecurity.com alebo aj v slovenčine na Bezpecnenanete.sk.

Vždy, keď pripravujem tento pravidelný stĺpček, verím, že je predovšetkým informatívny a nevyvoláva u čitateľov stres. Ak ste pripravení a obozretní, výrazne znížite riziko, že sa stanete obeťami útoku či podvodu online. Preto vám ako vždy želám príjemné a bezpečné surfovanie kybernetickým svetom.