Továbbra is folyamatosak az orosz kibertámadások Ukrajna ellen, azonban a különböző hackercsoportok, például a Kínával kapcsolatban álló Mustang Panda egyre nagyobb érdeklődést mutat az európai országok iránt is. A háború tavaly februári kezdete óta ennek eredményeként Magyarországon is megnőtt a kibertámadások száma – derül ki az ESET Research jelentéséből.
A csapat kutatói észlelték Ukrajnában a hírhedt Sandworm csoport tevékenységét, amely egy korábban nem ismert törlőprogramot vetett be egy energiaipari vállalat ellen. A NikoWipernek elnevezett program a Microsoft által kifejlesztett SDelete segédprogramon alapul, amely a fájlok biztonságos törlését teszi lehetővé.
A támadás tavaly októberben történt, ugyanabban az időszakban, amikor az orosz fegyveres erők csapást mértek az ukrán energetikai infrastruktúrára. Bár az ESET-nek nincs bizonyítéka arra vonatkozóan, hogy összehangolt támadásokról van szó,
Az kutatócsoport a kártékony adattörlő programok mellett olyan támadásokat is felfedezett, amelyek során zsarolóprogramokat használtak az adatok törlésére. Ezek esetében a végső cél ugyanaz volt. A hagyományos zsarolóvírus-támadásokkal ellentétben egyébként a Sandworm üzemeltetői nem adnak visszafejtő kulcsot még váltságdíj fejében sem – a cél tehát az adatok végleges megsemmisítése. A Prestige zsarolóvírus októberi azonosítása után novemberben egy új, .NET-ben írt zsarolóprogramot fedeztek fel a kutatók, amelyet RansomBoggs-nak neveztek el.
Nem csak az orosz hackerek aktívak
Az ESET kutatói egy másik, MirrorFace elnevezésű célzott adathalász támadást is észleltek, amelynek célpontjai japán politikai szervezetek voltak. A jelentés szerint emellett a Kínához köthető csoportok elkezdtek új áldozatokat keresni – a Mustang Panda csoport például egyre nagyobb érdeklődést mutat az európai országok iránt.
Az információk arra utalnak, hogy ez a csoport hajtott végre kibertámadást tavaly szeptemberben egy svájci energetikai és mérnöki ágazatban működő szervezetnél is, a Korplug kártékony program telepítésével. A szintén kínai Goblin Panda tavaly novemberben egy TurboSlate elnevezésű backdoor programmal próbált meg bejutni egy európai uniós kormányzati szervezet tűzfalai mögé.
Az Iránhoz köthető hackercsoportok is folytatták a támadásokat – a POLONIUM például az izraeli vállalatok mellett bizonyos cégek leányvállalatait is célba vette, a MuddyWater pedig egy biztonsági szolgáltató ellen intézhetett támadást. Az Észak-Koreával kapcsolatban álló csoportok, ahogy azt megszokhattuk, hibákat kihasználó exploitokat használtak a világ különböző részein kriptopénzzel foglalkozó cégek és tőzsdék ellen.
