Soron kívüli audit a kazah külügyminisztériumnál
Kazahsztán soron kívüli ellenőrzés fog tartani a külügyminisztériumnál egy jelentős kibertámadást miatt, amely a kutatók gyanúja szerint a Kreml által támogatott hackerekhez köthető – jelentette a kazah helyi média. A kazah digitális minisztérium a támadásra a Sekoia által közzétett jelentés után reagált, amely részletesen ismerteti a közép-ázsiai diplomáciai egységeket, köztük Kazahsztánt célzó kiberkémkedési kampányt. A művelet mögött álló hackercsoport – amelyet UAC-0063 néven követnek nyomon – potenciálisan az orosz állam által támogatott APT28 kiberszereplőhöz, más néven Fancy Bearhez vagy BlueDelta-hoz kapcsolódik.
Kazahsztáni tisztviselők az Orda hírügynökségnek elmondták, hogy 2023 második fele óta tudnak a külügyminisztériumot célzó kibertámadásról, amelyben a kiberszereplő a CherrySpy és Hatvibe kártevő törzseket használta. A hatóságok azonban csak azután döntöttek a minisztérium ellenőrzéséről, hogy a Sekoia jelentést tett közzé az incidensről. Az audit eredményei alapján a kazahsztáni kiberbiztonsági tisztviselők további lépéseket fognak tenni – közölte a digitális minisztérium. Arra a kérdésre, hogy orosz hackerek voltak-e a felelősek, ahogyan azt a Sekoia és más kutatók állítják, a minisztérium a médiának azt mondta, hogy „túl korai lenne ezt megmondani”. Korábban a kazahsztáni nemzetbiztonsági ügynökség azt állította, hogy nincs információja az ország állami rendszerei ellen irányuló, oroszok által támogatott kibertámadásokról.
Az UAC-0063 hackerei legalább 2021 óta aktívak, és korábban diplomáciai, nonprofit, tudományos, energetikai és védelmi szerveket vett célba Ukrajnában, Izraelben, Indiában és több közép-ázsiai országban, köztük Kazahsztánban, Kirgizisztánban és Tádzsikisztánban. A Sekoia által azonosított legutóbbi kampányukban a kiberszereplő legitim, valószínűleg a kazahsztáni külügyminisztériumból származó dokumentumokat – például levelezést, dokumentumtervezeteket vagy belső adminisztratív feljegyzéseket – használt fel, hogy rosszindulatú szoftvereket juttassanak el az áldozatokhoz. Nem világos, hogy a kiberszereplő hogyan jutott hozzá ezekhez a dokumentumokhoz. A kutatók szerint elképzelhető, hogy egy korábbi kiberművelet során kiszivárogtatták, nyílt forrásokból gyűjtötték össze őket, vagy fizikai úton szerezték meg a dokumentumokat. Sekoia közel két tucat ilyen dokumentumot azonosított, amelyek 2021 és 2024 október közötti keletkeztek. A legtöbbjük a Kazahsztán és más országok közötti diplomáciai együttműködésre és gazdasági kérdésekre vonatkozott.
A rosszindulatú fájlok két ismert kártevő törzset tartalmaztak, a CherrySpy és a Hatvibe-t, amelyeket korábban Ázsiát és Ukrajnát célzó kiberkémkedési kampányokban használtak. A CherrySpy backdoor lehetővé teszi a támadók számára, hogy egy C2 szerverről kapott Python kódot hajtsanak végre, míg a Hatvibe további fájlok letöltését és végrehajtását teszi lehetővé a fertőzött eszközökön. A kutatók szerint ez a kampány egy szélesebb körű, globális kiberkémkedési művelet része, amely közép-ázsiai országokat céloz meg, és amelynek célja valószínűleg stratégiai és gazdasági információk gyűjtése Kazahsztán nyugati és közép-ázsiai országokkal való kapcsolatairól.
Kazahsztán 2024 szeptemberében rendezte meg a “KazHACKstan” rendezvényét, mely célja a nemzeti kiberbiztonsági szabályok megvitatása, a legújabb technológiák megosztása, illetve hackelési és védekezési technikák megosztása volt. A rendezvényen a magyarországi Nemzeti Kibervédelmi Intézet (NKI) is képviselte magát.
