- Útočníci se zaměřují na vládní, finanční a energetický sektor.
- Od začátku války vzrostl celosvětově počet kyberútoků na organizace o 16 %.
- Počet útoků na české organizace vzrostl od začátku války o 30 %, jedna česká organizace čelí průměrně 1865 kyberútokům za týden.
PRAHA – 1. dubna 2022 — Check Point Research, výzkumný tým společnosti Check Point® Software Technologies Ltd. (NASDAQ: CHKP), předního světového poskytovatele kyberbezpečnostních řešení, varuje před novou taktikou hackerských skupin, které k šíření malwaru a kyberšpionážím používají dokumenty s válečnou tematikou. APT skupiny El Machete, Lyceum a SideWinder útočí pomocí spear-phishingových kampaní na lukrativní cíle. Útočníci používají formální dokumenty, novinové články i pracovní nabídky a šíří malware, který se používá ke špionážím. Terčem jsou vládní, bankovní a energetické společnosti.
Malware používaný k těmto útokům dokáže zaznamenávat stisknuté klávesy, krást přihlašovací údaje, včetně dat uložených v prohlížečích Chrome a Firefox, vytvářet snímky obrazovky, kopírovat data ze schránky, plnit příkazy útočníků a odesílat hackerům informace o souborech na disku, včetně názvů a velikostí, aby bylo možné krást konkrétní soubory.
„Výzkumný tým Check Point Research má prozatím informace o aktivitách těchto tří skupin v několika zemích, ovšem podobné techniky a taktiky se mohou snadno rozšířit i do dalších zemí. Organizace po celém světě by se měly mít na pozoru,“ říká Daniel Šafář, Area Manager CEE regionu z kyberbezpečnostní společnosti Check Point Software Technologies.
| APT skupina | Původ skupiny | Cíl | Napadané státy |
| El Machete | Španělsky mluvící země | Finanční a vládní sektor | Nikaragua, Venezuela |
| Lyceum | Íránská islámská republika | Energetický sektor | Izrael, Saúdská Arábie |
| SideWinder | Pravděpodobně Indie | Neznámo | Pákistán |
El Machete
Skupina rozesílá spear-phishingové e-maily finančním organizacím v Nikaragui s dokumentem „Temné plány neonacistického režimu na Ukrajině“ ve formátu Word. Dokument obsahuje článek napsaný a zveřejněný ruským velvyslancem v Nikaragui, který se zaměřuje na rusko-ukrajinský konflikt z pohledu Kremlu. Jakmile oběť soubor otevře, spustí se škodlivé makro a do počítače je stažen malware.
Lyceum
V polovině března obdržela izraelská energetická společnost e-mail z adresy inews-reporter@protonmail[.]com s předmětem „Ruské válečné zločiny na Ukrajině“. E-mail obsahoval několik obrázků převzatých z veřejných zdrojů a obsahoval odkaz na článek umístěný na doméně news-spot[.]live. Odkaz v e-mailu vedl na dokument, který obsahoval článek „Výzkumníci shromažďují důkazy o možných ruských válečných zločinech na Ukrajině“, který zveřejnil deník The Guardian. Na stejné doméně je umístěno několik dalších škodlivých dokumentů souvisejících s Ruskem i rusko-ukrajinskou válkou, například kopie článku The Atlantic Council z roku 2020 o ruských jaderných zbraních a nabídce práce agenta na Ukrajině. E-mail obsahuje odkaz na škodlivý dokument, který po uzavření spustí makro. Do počítače je uložen exe. soubor a při dalším restartu počítače je spuštěn malware.
APT skupina Lyceum používá ve svých nebezpečných e-mailech a dokumentech válečná témata
SideWinder
SideWinder používá škodlivý dokument s názvem „Specializovaná přednáška o dopadu ruského konfliktu na Ukrajině na Pákistán“ a dle obsahu jsou hlavním cílem pákistánské subjekty. Jakmile oběť otevře škodlivý dokument, načte se externí šablona ze serveru ovládaném útočníky. Soubor ve formátu RTF zneužívá zranitelnost CVE-2017-11882 a počítač infikuje malwarem.
Škodlivý dokument skupiny SideWinder
„APT skupiny používají k útokům stále častěji válečná témata. Kampaně jsou cílené, velmi rafinované a zaměřují se na vládní, finanční a energetický sektor. Malware umožňuje krást citlivá data, sledovat stisknuté klávesy nebo vytvářet snímky obrazovky. Hlavní motivací tak je dle všeho kybernetická špionáž. Důrazně doporučujeme vládám, bankám a energetickým společnostem, ale i všem ostatním organizacím, aby vzdělávaly své zaměstnance a používaly pokročilá bezpečnostní řešení,“ dodává Daniel Šafář.
Výzkumný tým Check Point Research zároveň upozorňuje na další nárůst kyberútoků po celém světě. Od začátku rusko-ukrajinské války došlo celosvětově k nárůstu kyberútoků o 16 %. Počet útoků na české organizace vzrostl od začátku války dokonce o 30 % a jedna česká organizace čelí v průměru 1865 kyberútokům za týden. Jedná se o velmi alarmující číslo, protože jedna evropská organizace čelí v průměru „jen“ 1101 kyberútokům za týden, což je o 18 % více než před začátkem rusko-ukrajinské války.
Více informací najdete v analýze výzkumného týmu Check Point Research:
Novinky od českého týmu společnosti Check Point Software Technologies:
Facebook: https://www.facebook.com/CheckPointCzech
Twitter: https://twitter.com/CheckPointCzech
LinkedIn: https://cz.linkedin.com/showcase/checkpointczech
Sledujte novinky o bezpečnostním týmu Check Point Research:
Blog: https://research.checkpoint.com/
Twitter: https://twitter.com/_cpresearch_
Sledujte novinky o společnosti Check Point Software Technologies:
Twitter: http://www.twitter.com/checkpointsw
Facebook: https://www.facebook.com/checkpointsoftware
Blog: http://blog.checkpoint.com
YouTube: http://www.youtube.com/user/CPGlobal
LinkedIn: https://www.linkedin.com/company/check-point-software-technologies
O výzkumném týmu Check Point Research
Check Point Research poskytuje zákazníkům společnosti Check Point Software a širší bezpečnostní komunitě detailní informace o kyberhrozbách. Výzkumný tým shromažďuje a analyzuje data o globálních kyberútocích ze sítě ThreatCloud, chrání tak před hackery a zajišťuje, že všechny produkty Check Point jsou aktualizované a mají nejnovější ochranu. Výzkumný tým se skládá z více než 100 analytiků a výzkumných pracovníků, kteří spolupracují také s dalšími bezpečnostními společnostmi, donucovacími orgány a organizacemi CERT.
O společnosti Check Point Software Technologies
Check Point Software Technologies Ltd. (www.checkpoint.com) je přední poskytovatel kyberbezpečnostních řešení pro vlády a organizace po celém světě. Chrání zákazníky před kyberútoky 5. generace prostřednictvím unikátních řešení, která nabízí bezkonkurenční úspěšnost zachycení malwaru, ransomwaru a jiných pokročilých cílených hrozeb. Check Point nabízí víceúrovňovou bezpečnostní architekturu, Infinity Total Protection s pokročilou prevencí hrozeb 5. generace, a tato kombinovaná produktová architektura chrání podnikové sítě, cloudová prostředí a mobilní zařízení. Check Point navíc poskytuje nejkomplexnější a nejintuitivnější nástroje pro správu zabezpečení. Check Point chrání více než 100 000 organizací všech velikostí.