Хакери и хакерски групи са заети с намирането на нови начини да използват войната в Украйна като примамка в своите кампании за фишинг и злонамерен софтуер. Организации и вероятно лица, базирани в Русия, Китай, Северна Корея и Иран, са само част от подкрепяните от правителството - и понякога независими - лоши актьори, които са използвали различни теми, свързани с войната, за да накарат хората да щракнат върху злонамерени връзки. Въпреки че много от тези атаки невинаги са сложни, те могат да бъдат трудни за откриване и блокиране, така че технологичните гиганти като Google трябва да имат собствена армия за киберсигурност, която работи денонощно.
Групата за анализ на заплахите (TAG) на Google току-що публикува нов доклад за заплахи от лоши играчи в Източна Европа, който показва нарастване на атаките. Докладът също така илюстрира как финансово мотивирани хакери използват текущи събития, за да се насочат към жертви чрез хитрост, при която нападателите се идентифицират като представители на военните, за да получат пари, които уж ще отидат за спасяване на роднини в Украйна. Нещо повече - TAG също е видял доказателства, че множество изнудвачи с рансъмуер все още работят - всички те се възползват от вниманието върху глобалните събития, за да продължат престъпната дейност.
TAG назовава три групи, които наблюдава отблизо, и дава миниатюрна скица на дейността на всяка група. Първо, имаме Curious Gorge - група, свързана със Силите за стратегическа подкрепа на Народноосвободителната армия на Китай или PLA SSF. Curious Gorge според TAG е предприела действия срещу организации с военни и правителствени връзки в Украйна, Русия, Казахстан и Монголия. Досега това не е засегнало продуктите на Google, казва TAG, но те остават бдителни.
Втората спомената група е ColdRiver, известна още като Calisto, за която TAG показва, че е базирана в Русия. Групата стартира фишинг кампании срещу американски компании, източноевропейска военна организация и отбранителен доставчик, базиран в Украйна. Показателно е, че TAG съобщава, че Coldriver наскоро е променила тактиката и е започнал да преследва военни звена в целия Източен блок в допълнение към НАТО. Докладът изброява фишинг домейните на хакерите, включително безобидно звучащи URL адреси като protect-link[.]online и drive-share[.]live.
И накрая TAG набляга на беларуската група Ghostwriter, която представлява уникална заплаха, тъй като хакерите вече са включили сравнително нова и коварна Browser in the Browser (BitB) атака. Тази примамка по същество представя на непредпазливите нещо, което изглежда като легитимен изскачащ прозорец за влизане в профил, до самия URL (обикновено частта, която хакерите се борят да фалшифицират). Ако обаче въведете вашата информация, тя се изпраща до сървърите за командване и управление на софтуерния оператор.
Въпреки че анализаторите по сигурността на Google активно наблюдават хакерска дейност, свързана с Украйна и Русия, те са наясно, че други кибератакуващи с различна мотивация ще се опитат да се промъкнат и да изпълнят нови схеми. TAG казва, че остава бдителен като цяло и ще продължи да предприема действия, за да се опита да предотврати бъдещи атаки чрез сигнали, споделящи ключова информация - така че фокусът върху Източна Европа не означава, че хакерите могат да се откажат от атаки другаде.
Снимка: Pikrepo
Виж още: Руски разработчици правят алтернатива на Google Play Store