Specialiștii Google, din cadrul grupului de analiză a amenințărilor (TAG), au precizat că agresiunile cibernetice derulate de grupări APT care folosesc ca temă războiul din Ucraina au crescut în aprilie 2022, odată cu intensificarea atacurilor malware care au vizat infrastructura critică.
Potrivit Google, grupări APT susținute de China, Iran, Coreea de Nord și Rusia, precum și alte grupuri neatribuite, au folosit teme legate de războiul din Ucraina în campaniile de phishing și de distribuire programe malware.
Cu toate acestea, în atacurile cibernetice care vizează Europa de Est, nu a existat o schimbare semnificativă față de nivelurile normale de activitate, contrar adoptării sporite a temelor referitoare la războiul din Ucraina.
În aprilie, Google a observat că gruparea APT28 (cunoscută și ca Fancy Bear – suspectată de mult timp că este susținută de guvernul rus) a vizat entități din Ucraina cu o nouă variantă de malware, concepută pentru a fura cookie-uri și parole salvate la nivelul browser-elor Chrome, Edge și Firefox. Malware-ul este sub forma unui executabil .Net distribuit printr-o campanie de phishing cu atașamente de tip fișiere .zip, protejate prin parolă.
TURLA, o altă grupare de hackeri atribuită FSB-ului, a continuat să desfășoare campanii împotriva țărilor baltice, vizând organizațiile de apărare și de securitate cibernetică din regiune. Similar activității observate recent, campaniile au fost trimise prin e-mail și conțineau un link unic pentru fiecare țintă, care accesa un fișier Microsoft Word găzduit pe infrastructura controlată de atacator. Accesarea acestuia conduce la descărcarea unui fișier PNG unic și, ulterior, la infectarea utilizatorului.
COLDRIVER (denumită uneori Callisto), grupare APT cu sediul în Rusia, a utilizat conturi Gmail pentru a trimite e-mailuri de tip phishing care au vizat obținerea credențialelor de acces ale unor oficiali guvernamentali și din domeniul apărării, politicieni, ONG-uri, grupuri de reflecție, precum și jurnaliști. Tacticile, tehnicile și procedurile (TTP) grupului au presupus includerea de link-uri de phishing direct în e-mail, respectiv crearea de link-uri către fișiere .pdf și/sau .doc găzduite pe Google Drive/ Microsoft One Drive. În cadrul acestor fișiere se regăsește un link către un domeniu controlat de atacator.
GHOSTWRITER, grupare cu origini din Belarus, a organizat o campanie malițioasă de tip phishing ce a vizat obținerea datelor de conectare la conturile de Gmail a mai multor cetățeni ucrainieni. Email-urile transmise conțineau linkuri spre site-uri web compromise unde erau găzduite paginile de phishing. Ulterior, utilizatorul era redirecționat către un site controlat de atacator care colecta credențialele introduse. Potrivit Google, niciun cont nu a fost compromis în cadrul acestei campanii.
La jumătatea lunii aprilie 2022, TAG a detectat o campanie de phishing derulată de același actor care a vizat utilizatorii Facebook din Lituania. Aceștia au primit link-uri către domenii controlate de atacatori, email-urile fiind transmise în numele echipei de securitate Facebook.
CURIOUS GORGE, grupare APT atribuită de TAG la PLA SSF (People’s Liberation Army Strategic Support Force) din China, a desfășurat campanii împotriva organizațiilor guvernamentale, militare, logistice și de producție din Ucraina, Rusia și Asia Centrală (Kazahstan și Mongolia). În Rusia, au fost afectate infrastructuri informatice ale Ministerului Afacerilor Externe. Recent, TAG a atribuit grupării acțiuni care au afectat mai mulți contractori și producători din domeniul apărării și o companie de logistică din Rusia.
Pe lângă acestea, la sfârșitul lunii aprilie 2022, echipa de intervenție în caz de urgență în domeniul informatic a Ucrainei (CERT-UA) și Banca Națională a Ucrainei au emis avertizări cu privire la atacuri DDoS masive împotriva unor obiective pro-ucrainene.
Serviciul Român de Informații (SRI), a avertizat, de asemenea, cu privire la un tip similar de atac care vizează site-uri aparținând autorităților naționale.
Atacul cibernetic din România a fost revendicat de gruparea KILLNET, de sorginte estică, pro-rusă, specializată în atacuri de tip Distributed Denial of Service (DDoS). Tot în aprilie 2022, gruparea KILLNET a lansat atacuri DDoS asupra site-urilor unor instituții din state precum SUA, Estonia, Polonia, Cehia, dar și asupra site-urilor NATO.