Megújuló energiaszektort érintő adathalász kampány

William Thomas biztonsági kutató egy évek óta tartó adathalász eszközöket használó kémkedési kampányra hívja fel a figyelmet, ami többnyire ipari vállalatokat és megújuló energiával foglalkozó cégeket érint. A kutató legalább 15 szervezet azonosított áldozatként a kampány során.

A kampányban nagy szervezetek is érintettek, mint a Schneider Electric és a Honeywell, amik az üzemeltetési technológia (OT) és az ipari vezérlőrendszerek (ICS) elismert gyártói, valamint a kínai Huawei, a félvezetőgyártó HiSilicon, a Telekom Románia, de kutatási helyek, így egyetemek is érintettek köztük az Amerikai Egyesült Államok Wisconsini Egyeteme, a Kaliforniai Állami Egyetem és a Utah Állami Egyetem.

Az adathalász kampány célja, hogy ellopja a megújuló energiával foglalkozó cégeknél, környezetvédelmi szervezeteknél és általában az ipari technológiánál dolgozók bejelentkezési adatait. Az adathalászat többnyire arra hivatkozik, hogy lépjen be a fiókjába a küldött linken, mert a postafiókja megtelt.

A kutató nem a rendelet konkrét csoportokat, vagy nemzetállami szereplőket a kampányhoz, de a bizonyítékok két csoportra utalnak, az egyik az APT28 (FancyBear), a másik pedig a Konni (Észak-koreai). Közös a két csoport tevékenységében, hogy az adathalászathoz használt gazdagépnevek a Zetta Hosting Solutions tulajdonában vannak, amit a két csoport azelmúlt időszakban gyakran használt a jelentések szerint. Ugyankkor hangsúlyozta, hogy nincs konkrét bizonyítéka arra, hogy a Zetta Hosting tudatosan segíti a rosszindulatú kampányokat.

A kutató megosztotta a kampányhoz tartozó IoC-kat.

FORRÁS