Kiberkémkedési művelet
A Bitdefender blogbejegyzése az UAC-0063 néven ismert kiberkémkedési műveletet tárgyalja, amely a közép-ázsiai térségből indult, és az utóbbi időben kiterjedt Európára is. A csoport célzott támadásokat hajtott végre kormányzati és diplomáciai szervezetek ellen, hogy érzékeny adatokat, például diplomaták és kormányzati tisztviselők iratait lopja el. A támadások főként közép-ázsiai országokban, különösen Kazahsztánban és más volt szovjet tagállamokban történtek, de az áldozatok köre Európában is növekedett, így az operáció hatásai globálisan érezhetők.
A csoport rendkívül kifinomult támadási módszereket alkalmazott. Az egyik leggyakrabban használt technika az volt, hogy a Microsoft Word dokumentumokat használták, amelyeken keresztül a HATVIBE nevű rosszindulatú programot (malware) juttatták be az áldozatok rendszereibe. A HATVIBE egy adatlopó eszköz, amely a rendszerbe belépve érzékeny adatokat gyűjtött, például személyes és kormányzati dokumentumokat, hogy azokat a támadók később elérhessék és kiszivárogtathassák.
A kiberkémkedő csoport emellett fejlettebb módszereket is alkalmazott az adatok eltulajdonítására. Az egyik ilyen eszköz a PyPlunderPlug, amely egy USB adatlopó program, amely lehetővé teszi az adatok átvitelét a rendszerről az áldozat közvetlen környezetébe. Ez a technika különösen veszélyes, mivel az ilyen típusú támadásokat nehéz észlelni, hiszen az adatok fizikai eszközökkel történő átvitele nem hagy nyomot a hálózaton.
A Bitdefender kutatói részletesen elemezték az UAC-0063 műveletet, és azonosították a támadások által célba vett intézményeket, köztük a kazahsztáni nagykövetség iratait, valamint azokat az adatokat, amelyeket a kiberkémek megszereztek.
A UAC-0063 egy orosz APT28-hoz köthető fenyegető csoport, amely kormányzati intézményeket céloz meg Közép-Ázsiában, különböző kiberkémkedési műveletek végrehajtására. A csoport a rendszerek kompromittálására kulcsszó-figyelőket, hátsóajtókat és rosszindulatú szoftvereket, mint a Hatvibe és Cherryspy használ. A csoport már 2021 óta aktív, és érdeklődést mutatott szervezetek iránt Mongóliában, Kazahsztánban, Kirgizisztánban, Izraelben és Indiában is. Az általuk alkalmazott taktikák, technikák és eljárások (TTP-k) közé tartoznak a célzott phishing kampányok, valamint a HFS HTTP File Server és a Rejetto fájlmegosztó szerverek szoftverhibáinak kihasználása.
A Bitdefender blogja figyelmeztet arra is, hogy az ilyen típusú kiberkémkedési műveletek észlelése és megelőzése komoly kihívást jelent, és a kormányzati szerveknek, diplomáciai intézményeknek és vállalatoknak folyamatosan fejleszteniük kell kiberbiztonsági intézkedéseiket, hogy megvédjék magukat az ilyen támadásokkal szemben.