Vládní subjekty v regionu Asie a Tichomoří (APAC) jsou cílem dlouhodobé kybernetické špionážní kampaně s názvem TetrisPhantom.
„Útočník tajně špehoval a sklízel citlivá data od vládních subjektů APAC tím, že zneužil konkrétní typ zabezpečeného USB disku, chráněného hardwarovým šifrováním pro bezpečné ukládání a přenos dat mezi počítačovými systémy,” uvedl Kaspersky ve své zprávě o trendech APT pro 3. čtvrtletí 2023.
Ruská firma zabývající se kybernetickou bezpečností, která odhalila probíhající aktivitu na začátku roku 2023, uvedla, že USB disky nabízejí hardwarové šifrování a jsou využívány vládními organizacemi po celém světě k bezpečnému ukládání a přenosu dat, což zvyšuje možnost, že by se útoky mohly v budoucnu rozšířit a mít globální stopu.
Sada tajných vniknutí nebyla spojena s žádným známým hackerem nebo skupinou, ale vysoká úroveň sofistikovanosti kampaně ukazuje na team národního státu.
„Tyto operace byly prováděny vysoce kvalifikovaným a vynalézavým aktérem hrozeb s velkým zájmem o špionážní aktivity v citlivých a zabezpečených vládních sítích,” řekl Noushin Shabab, hlavní bezpečnostní výzkumník společnosti Kaspersky. „Útoky byly extrémně cílené a měly poměrně omezený počet obětí.”
Klíčovým znakem kampaně je použití různých škodlivých modulů k provádění příkazů a shromažďování souborů a informací z napadených počítačů a šíření infekce na další počítače pomocí stejných nebo jiných bezpečných USB disků jako vektoru.
Komponenty malwaru, kromě toho, že se samy replikují prostřednictvím připojených zabezpečených jednotek USB, aby narušily sítě se vzduchovou mezerou, jsou také schopny spustit další škodlivé soubory na infikovaných systémech.
„Útok zahrnuje sofistikované nástroje a techniky,” uvedl Kaspersky a dodal, že sekvence útoků také zahrnovala „vložení kódu do legitimního programu pro správu přístupu na USB disku, který funguje jako zavaděč malwaru na novém počítači”.
Zveřejnění přichází, protože nový a neznámý aktér pokročilé perzistentní hrozby (APT) byl spojen se sadou útoků zaměřených na vládní subjekty, vojenské dodavatele, univerzity a nemocnice v Rusku prostřednictvím spear-phishingových e-mailů obsahujících nastražené dokumenty Microsoft Office.
„To zahájí víceúrovňové schéma infekce vedoucí k instalaci nového trojského koně, který je primárně navržen tak, aby exfiltroval soubory z počítače oběti a získal kontrolu prováděním libovolných příkazů,” tvrdí Kaspersky.
Útoky, které společnost označovala jako BadRory, se odehrály ve formě dvou vln – jedna v říjnu 2022 a druhá v dubnu 2023.
Zdroj: thehackernews.com
