Skupiny napojené na Rusko pokračujú v špionážnych aj deštrukčných útokoch proti Ukrajine aj jej spojencom

Niektoré veci netreba predpovedať ani pomocou vešteckej gule – jednoducho vieme, že sa nestanú. Napríklad bolo jasné, že mier na Ukrajine sa nedá dosiahnuť za jediný deň, rovnako aj to, že potraviny nebudú lacnejšie mávnutím čarovného prútika. A netreba byť ani veľkým prorokom, aby sme vedeli, že skupiny napojené na Ruskú federáciu vedú kybernetickú vojnu, a to nielen na Ukrajine, ale aj v krajinách západných spojencov. Aj preto verím, že čitateľov Nextechu zaujme podrobnejší pohľad na ich najnovšie aktivity.

Nedávno výskumník spoločnosti ESET v Montreale Matthieu Faou objavil a analyzoval kyberšpionážnu operáciu skupiny Sednit (známej aj ako Fancy Bear alebo APT28), ktorú sme v ESETe nazvali RoundPress. Táto operácia cieli na webmailové servery prostredníctvom zraniteľností XSS s cieľom kradnúť dôverné údaje zo špecifických e-mailových účtov. Väčšina cieľov súvisí s prebiehajúcou vojnou na Ukrajine – ide o ukrajinské vládne inštitúcie či obranné spoločnosti v Bulharsku a Rumunsku. Niektoré z nich vyrábajú zbrane ešte z čias Sovietskeho zväzu, určené na odoslanie na Ukrajinu. Medzi ďalšie ciele patrili vlády v Afrike, EÚ a Južnej Amerike.

Útoky využívali zraniteľnosti XSS v systémoch Horde, MDaemon, Zimbra a Roundcube, ktoré výskumníci ESETu začali zaznamenávať už minulý rok a ktoré sa aj vďaka nim podarilo aj opraviť.

Sednit rozosielal XSS exploity e-mailom, pričom škodlivý JavaScript sa spustil priamo v rámci stránky webmailového klienta otvorenej v prehliadači. Útočníci tak mohli čítať a exfiltrovať údaje z cieľového účtu. Aby bol útok úspešný, obeť musela otvoriť e-mail v zraniteľnom webmailovom portáli, čo znamenalo, že správa musela prejsť spamovými filtrami a zároveň zaujať dôveryhodným predmetom. Útočníci preto zneužívali známe médiá ako Kyiv Post či bulharský News.bg. Medzi použité titulky patrili napríklad: SBU zatkla bankára, ktorý pracoval pre nepriateľskú vojenskú rozviedku v Charkove alebo Putin žiada Trumpa o prijatie ruských podmienok v bilaterálnych vzťahoch.

Obeť sa útoku prakticky nemohla vyhnúť – stačilo, aby si otvorila e-mail. Nemusela kliknúť na odkaz ani otvárať prílohu, ako je to bežné pri spearphishingových útokoch.

JavaScriptové payloady následne kradli prihlasovacie údaje, exfiltrovali adresár, kontakty, históriu prihlásení a e-mailové správy. Jeden z nich dokonca dokázal obísť dvojfaktorovú autentifikáciu – exfiltroval tajný kód a vytvoril heslo pre aplikáciu, čím útočníkom umožnil prístup k schránke prostredníctvom e-mailového klienta.

Sednit sa pritom nezameriaval na kompromitovanie počítačov obetí ani na ich cloudové prostredie. Cielene útočil na webmailové účty hostované priamo na serveroch cieľových organizácií.

Za posledné dva roky sa webmailové servery ako Roundcube a Zimbra stali hlavnými cieľmi viacerých špionážnych skupín (okrem Sednit aj GreenCube a Winter).

Nedávno sme zverejnili aj najnovšiu správu o APT aktivitách, teda o skupinách kybernetických útočníkov zameraných na pokročilé pretrvávajúce hrozby, za obdobie od októbra 2024 do marca 2025. Počas tohto obdobia aktéri napojení na Rusko, najmä Sednit a Gamaredon, udržiavali agresívne kampane, primárne zamerané na Ukrajinu a krajiny EÚ. Ukrajina čelila najintenzívnejším kybernetickým útokom, ktoré smerovali na kritickú infraštruktúru a vládne inštitúcie.

Ďalšia skupina s názvom Sandworm zintenzívnila deštruktívne operácie proti ukrajinským energetickým spoločnostiam a nasadila nový malvér nazvaný ZEROLOT. Ten zneužíval Group Policy v Active Directory napadnutých organizácií a slúžil na mazanie dát. ZEROLOT je dôkazom toho, že aj keď sa pozornosť útočníkov vo vojne na Ukrajine presúva od deštruktívnych útokov k špionáži, nič nenasvedčuje tomu, že by deštruktívne aktivity vymizli.

Gamaredon zostal najaktívnejším aktérom zameraným na Ukrajinu – zlepšil techniky maskovania malvéru a predstavil PteroBox, nástroj na krádež súborov zneužívajúci ­Dropbox. Skupina RomCom, takisto napojená na Rusko, preukázala svoje pokročilé schopnosti nasadením zero-day exploitov proti Firefoxu a Windows.

Ak vás zaujímajú aj aktivity skupín napojených na Čínu, Severnú Kóreu či Irán, odporúčam prečítať si celú správu v angličtine na našej stránke WeLiveSecurity.com.

A na čo ešte netreba vešteckú guľu? Na to, že sa s prehľadom kybernetických hrozieb opäť stretneme v ďalšom stĺpčeku. Dovtedy želám hlavne bezpečné surfovanie kybernetickým priestorom.

Branislav Ondrášik,   ESET