Samsung_042026 Advertisement Samsung_042026 Advertisement Samsung_042026 Advertisement

Čínske hackerské a špionážne skupiny sú mimoriadne aktívne: Zamerali sa na Venezuelu aj Blízky východ

Bezpečnosť
0

Niektorí si možno tento stĺpček čítajú už niekde v lietadle, iní na ležadle pod slnečníkom na pláži a niektorým po konsolidácii už možno na oddych a dovolenku nevydalo. V každom prípade, nech ho čítate kdekoľvek a ktokoľvek, verím, že vás informácie z kuchyne nášho Labu zaujmú.

Samsung_042026T Advertisement

Nedávno sme napríklad vydali najnovšiu správu APT Activity Report, ktorá mapuje činnosť vybraných APT skupín (pokročilé pretrvávajúce hrozby). Ide o sofistikované hackerské skupiny napojené na vlády. Počas sledovaného obdobia napríklad boli útočníci napojení na Čínu mimoriadne aktívni a ich špionážne kampane výrazne reflektovali geopolitický vývoj a kopírovali ekonomické a bezpečnostné záujmy Pekingu. Po vojenskej operácii USA vo Venezuele a uprostred pretrvávajúcej nestability a konfliktu v oblasti Perzského zálivu sme zaznamenali náznaky, že skupiny spriaznené práve s Čínou boli mobilizované s cieľom zlepšiť informovanosť Pekingu o vývoji v oblasti námornej dopravy, energetiky a zahraničnej politiky. Skupina Andariel spojená so Severnou Kóreou zas zaútočila na spoločnosť, ktorá je podľa všetkého zapojená do jadrového energetického priemyslu.

Tak napríklad skupina FamousSparrow, ktorá je napojená na Čínu, zaútočila na venezuelskú vládnu inštitúciu zaoberajúcu sa námornými záležitosťami, pravdepodobne s cieľom monitorovať dodávky ropy po intervencii USA. SteppeDriver zas útočila na sýrsku vládnu sieť. Toto konanie môže odrážať čínsky komerčný záujem o projekty obnovy Sýrie, ako aj bezpečnostné obavy týkajúce sa ujgurských bojovníkov prítomných v tejto krajine. Rodina malvéru SPAWN z dielne skupiny UNC5221 sa zasa zamerala na vládne inštitúcie v Kambodži a Paname, ako aj na spoločnosť zaoberajúcu sa umelou inteligenciou a robotikou v Južnej Kórei. Zameriavanie sa na Južnú Kóreu súvisí s trvalým záujmom Pekingu o strategické technológie, ktoré sú prioritou v rámci konceptu čínskeho priemyselného a technologického rozvoja.

V Ázii sa kampane sústreďovali predovšetkým na vládne organizácie, strategické odvetvia a sektory špičkových technológií. Na Blízkom východe zostal Izrael hlavným cieľom aktivít spojených s Iránom a s ním prepojenými skupinami, pričom ciele siahali od organizácií postihnutých špionážnymi útokmi až po firmy zasiahnuté ­deštruktívnymi nástrojmi.

Práve vojna s Iránom, ktorá sa začala koncom februára 2026, bola kľúčovou udalosťou pre aktivity útočníkov spojených s touto krajinou Paradoxne sa v telemetrii spoločnosti ESET konflikt prejavil poklesom aktivity ich skupín. Pravdepodobným vysvetlením je, že obmedzenia internetu uvalené iránskym režimom bránili ich schopnosti efektívne operovať. Zároveň sa zdá, že toto prostredie pomohlo mobilizácii proxy a hacktivistických aktérov zameraných na Izrael, Spojené štáty a ďalšie štáty vnímané ako nepriateľské k Teheránu. Výskumníci spoločnosti ESET zdokumentovali aj nezvyčajný nárast aktivít namierených proti izraelským cieľom, ktoré nebolo možné s istotou priradiť k už známym skupinám.

Napríklad sme takisto zistili, že došlo k napadnutiu jednej zo zbrojárskych firiem v Spojených arabských emirátoch a že po arabsky hovoriaci používatelia sa stali terčom špionážneho ­softvéru pre Android. Cieľom boli pravdepodobne novinári alebo odborníci v oblasti otvorených zdrojov (OSINT), keďže názov kanála útočníka na Telegrame bol zrejme inšpirovaný platformou Live Universal Awareness Map ­(Liveuamap) – legitímnou a známou platformou OSINT zameranou na mapovanie vojenských ­incidentov po celom svete.

Hackerské skupiny napojené na Rusko sa neprekvapivo naďalej zameriavali prevažne na Ukrajinu a subjekty spojené s obrannými aktivitami tejto krajiny. Skupina Sednit nasadila svoje Implanty Covenant a BeardShell proti ukrajinským vojakom, výrobcom dronov a organizáciám zaoberajúcim sa výskumom a vývojom dronov, pričom sa zameriavala aj na logistické a dopravné spoločnosti mimo Ukrajiny. Skupina Sandworm zintenzívnila svoje deštruktívne aktivity a nasadila na Ukrajine niekoľko nových wiperov dát proti cieľom vo vládnom aj súkromnom sektore.

Posledné mesiace nás zaujala aj skupina ­OceanLotus napojená na Vietnam, ktorá začala klásť väčší dôraz na domácu špionáž. Naši výskumníci identifikovali dve odlišné kampane využívajúce backdoor SPECTRALVIPER: útok na dodávateľský reťazec zameraný na investorov na burze vo Vietname a dlhodobú špionážnu operáciu proti vietnamskej spoločnosti pôsobiacej v oblasti infraštruktúry a výstavby dopravných projektov.

Nie je zatiaľ jasné, či tento posun predstavuje dočasnú úpravu alebo dlhodobú strategickú zmenu; táto 15 rokov fungujúca APT skupina však naďalej preukazuje agresívnu taktiku a vysokú mieru sofistikovanosti svojich nástrojov. OceanLotus je známa neustálymi inováciami a rozširovaním svojho arzenálu backdoorov pre Windows a Linux, pričom často implementuje unikátne sieťové protokoly.

No a na záver aspoň jedna dobrá správa, tak ako minulý mesiac opäť zo sveta AI. ESET sa pripojil k Agentic AI Foundation (AAIF), čím tiež realizujeme vlastný záväzok formovať bezpečnú a človekom riadenú agentickú AI. Prostredníctvom tohto členstva bude ESET prispievať nezávislým a vlastným výskumom podloženým know-how v oblasti kybernetickej bezpečnosti do globálneho úsilia o rozvoj otvorených protokolov, vzájomnej kompatibility a funkčných štandardov pre systémy AI agentov.

A teraz už môžete Nextech zavrieť a pokojne si konečne užívať leto. My sa opäť stretneme v ďalšom vydaní. Dovtedy zaujímavé a predovšetkým bezpečné brázdenie kybernetickým svetom.

 

Branislav Ondrášik, ESET

Všetky autorove články

Pridať komentár

Mohlo by vás zaujímať

Mohlo by vás zaujímať