Címke: Kiberháború

Operáció Texonto: A kiberfenyegetések új generációja

A Kiberháború új dimenziói: Az Operáció Texonto elemzése

Az ESET biztonsági elemzőinek csapata felfedezett egy rendkívül összetett és újító kibertámadási hálózatot, amelyet „Operáció Texonto” néven ismerünk. Ez a fejlett támadási taktika dupla fenyegetést jelent: egyrészt dezinformációs hadjáratok révén terjeszt pszichológiai hadviselést az ukrán lakosság és vállalkozások körében, hamis információkat használva a közvélemény befolyásolására a konfliktussal kapcsolatban. Másrészt, adathalász módszerekkel is operál, tovább növelve a biztonsági kockázatokat. Az Operáció Texonto által létrehozott pszichológiai és dezinformációs tevékenységek jelentős kihívást jelentenek a kiberbiztonsági szakértők számára, mivel a védekezés nem csupán technikai intézkedéseket, hanem a közösség felvilágosítását és tudatosságának javítását is magában foglalja.

A dezinformációs és adathalászati hadjáratok dualitása

Az ESET szakértői által feltárt ‘Operáció Texonto’ kampány 2023 novemberében és decemberében két hullámban hajtott végre pszichooperatív üzenetküldéseket. Ezek az üzenetek a jellemző orosz propaganda narratíváit követték, olyan problémákat taglalva, mint a gyógyszerhiányok, az élelmezési nehézségek és az ukránok fűtésellátásának zavarai. A dezinformáció fő célja egyértelműen az volt, hogy megkérdőjelezzék Oroszország háborús előnyeit az ukrán nép szemében.

A kampány egy másik szegmense spam e-maileken keresztül terjedt háborús téves információkat, és egy adathalászati hadjárat is megfigyelhető volt októberben, amely kifejezetten az ukrán intézményeket és az EU-s ügynökségeket célozta meg, a Microsoft Office 365 fiókok belépési adatainak megszerzésére törekedve.

Az Operáció Texonto Orosz kötelékei

Az ESET általi kutatás során az Operáció Texonto tevékenységeit „magas szintű biztonsággal” egy Oroszországgal kapcsolatban álló csoportnak tulajdonítják, ami összhangban áll korábbi hasonló módszerekkel operáló csoportokkal. A technikai egyezések hiányában azonban az ESET nem tudja egyértelműen egy specifikus fenyegető szereplőhöz kötni a Texonto működését.

A Callisto csoport és a dezinformációs műveletek kapcsolata

Matthieu Faou, az ESET kutatója kiemeli, hogy a kiberkémkedési műveletekben az utóbbi időben tapasztalt növekedés szembetűnő. A Callisto csoport, amely egy ismerten Oroszországhoz köthető kiberkémkedési szervezet, korábban az Amerikai Egyesült Államok Igazságügyi Minisztériumának vádemelési dokumentumaiban is szerepelt, hasonló típusú akciókat végezve.

A dezinformációs üzenetek és a Spam Hadjáratok Közötti Kapcsolat

A kezdeti üzenetsor nem tartalmazott kártékony szoftvert vagy rosszindulatú hivatkozásokat, azonban egy e-mail javasolta a hiányzó gyógyszerek gyógynövényekkel való helyettesítését, míg egy másik a galamb risotto fogyasztását ajánlotta. A második üzenetsor már komorabb tanácsokat adott, többek között amputációkat javasolva a katonai szolgálat elkerülése végett.

A Meta elemzése az Orosz befolyásolási műveletekről

A META legfrissebb jelentése alapján az orosz befolyásolási műveletek hatékonyan csökkentették a hivatalos média által megosztott bejegyzések mennyiségét és az elköteleződési szinteket. A jelentés hangsúlyozza, hogy a nyilvánvalóan hamis, rövid életű profiok elleni harc tovább folytatódik, és 2024-ben is számítani kell a tömeges spam hadjáratok folytatódására.

Az Operáció Texonto esete rámutat a kibertámadások és pszichooperációs hadjáratok összetett és változatos világára, amelyek globális szinten egyre nagyobb kihívást jelentenek a nemzetbiztonsági szervezetek és kiberbiztonsági szakértők számára.

Forrás: www.forbes.com

Sandworm kibertámadás a Kyivstar ellen: Az Ukrán kiberbiztonság legfrissebb kihívásai

Az ukrán kibervédelmi szervek nyilvánosságra hozták, hogy a Sandworm néven ismert, orosz állami támogatást élvező kibertámadó csoport már 2023 májusa óta tevékenykedik a Kyivstar távközlési vállalat rendszereiben.

E hírt elsőként a Reuters hozta le.

Az eseményt, melyet „masszív hackertámadásként” írtak körül, először az elmúlt hónapban ismertették, amikor több millió mobil- és internetfelhasználó számára szakadt meg a szolgáltatás. Röviddel az esemény után egy Oroszországhoz kötődő hackercsoport, a Solntsepyok vállalta magára a biztonsági incidens elkövetését.

A Solntsepyokot, mint orosz kibertámadó csoportot ismerik, mely összeköttetésben áll az Orosz Föderáció Fegyveres Erőinek Fő Parancsnokságával (GRU), ami a Sandworm műveleteit is irányítja.

Ez az előrehaladott állandó fenyegetési (APT) szereplő a káros kibertámadások elkövetésével szerzett hírnevet, és Dánia a múlt évben azzal vádolta meg, hogy 22 energetikai vállalatot támadtak meg.

Illia Vitiuk, az Ukrán Biztonsági Szolgálat (SBU) kiberbiztonsági részlegének vezetője elmondta, hogy a Kyivstar elleni támadás gyakorlatilag minden adatot eltüntetett több ezer virtuális szerveren és számítógépen.

Az incidens, Vitiuk szavai szerint, „a telekommunikációs vállalat központjának teljes megsemmisítését eredményezte”.

Forrás: https://thehackernews.com/

A Mustang Panda Kibertámadásai: Feszültségek a Fülöp-szigeteki Kormány és Dél-Kína Között

A Mustang Panda Hackerek: Feszültségek a Fülöp-szigeteki Kormány és a Dél-kínai-tenger Között A Mustang Panda, Kínával kapcsolatba hozható hackercsoport, a Fülöp-szigeteki kormányzati intézményeket támadta meg, kihasználva a Dél-kínai-tengeren zajló területi vitákat. A Palo Alto Networks Unit 42 szerint a csoport 2023 augusztusában három kampányt indított, amelyek elsődlegesen a Dél-Csendes-óceáni régió szervezeteire irányultak.

Ezek a támadások olyan hitelesnek tűnő szoftvereket használtak, mint a Solid PDF Creator és a SmadavProtect (egy indonéz antivírus megoldás), hogy rosszindulatú fájlokat töltsenek fel a célpontok rendszereibe. A csoport rafináltan manipulálta ezeket a szoftvereket, hogy Microsoft forgalmat imitáljanak, ezzel biztosítva a parancs-és-vezérlés (C2) kapcsolatokat.

A Mustang Pandát több néven is ismerik, köztük Bronz Előlnök, Camaro Sárkány, Föld Preta, RedDelta és Állami Taurus néven, és mint egy kínai fejlett állandó fenyegetést (APT) jelentő csoportot azonosítják, amely 2012 óta aktív kiberspionázs kampányokat folytat a világ számos pontján.

2023 szeptemberében a Unit 42 a csoportot egy délkelet-ázsiai kormány elleni támadásokkal is összefüggésbe hozta, amelyek a TONESHELL hátsó ajtó egy változatának terjesztésével kapcsolatosak voltak.

A csoport legutóbbi támadásai dárda-phishing e-mailekkel kezdődtek, amelyek rosszindulatú ZIP archívumokat szállítottak, tartalmazva egy rosszindulatú dinamikus kapcsolódó könyvtárat (DLL). A támadás célja egy távoli szerverrel való kapcsolatfelvétel volt, amelynek során kompromittálták a Fülöp-szigeteki kormányzati entitásokat egy ötnapos időszak alatt, 2023. augusztus 10. és 15. között.

A Mustang Panda hírhedt a SmadavProtect program használatáról, amelyet a biztonsági megoldások kijátszására fejlesztettek ki. „Állami Taurus továbbra is bizonyítja a hatékony és tartós kiberspionázs műveletek végrehajtásában való jártasságát, mint az egyik legaktívabb kínai APT,” jegyezték meg a kutatók.

Az esetek globális célpontjai összhangban állnak a kínai kormány geopolitikai érdeklődési körével. A felfedezés egyidejűleg történt egy dél-koreai APT csoport, a Higaisa aktivitásának feltárásával, amely kínai felhasználókat célozott meg, OpenVPN-hez hasonló adathalász weboldalakon keresztül.

„Ezek a támadások Rust alapú kártékony szoftvereket telepítettek és futtattak a rendszereken, aktiválva egy shellcode-ot,” tájékoztatott a Cyble. „A shellcode anti-debugging és dekódoló műveleteket hajt végre, majd titkosított parancs-és-vezérlés (C&C) kommunikációt hoz létre a távoli fenyegető szereplővel.”