хакери

  • Нови тенденции в APT атаките: Китай, Иран, Северна Корея и Русия засилват кибер операциите си

    Водещите APT групи са променили съществено тактиките си. Правителствените организации остават основна цел на атаките, но се забелязват нови тенденции в използваните инструменти и подходи.

    Кампаниите на всички наблюдавани APT групи стават по-сложни. Те се адаптират все по-добре към промените в защитните механизми на целите си.

    Това са основните изводи в проучването APT Activity Report на ESET, покриващо периода април-септември 2024.

    Останалите тенденции включват:

    • увеличена употреба на легитимни инструменти и услуги за злонамерени цели;
    • разширяване на географското покритие на дейността;
    • засилено внимание към критичната инфраструктура – енергийни мрежи, транспортен сектор, правителствени ресурси, здравни и финансови системи и др.

    Китайски APT групи възприемат нови тактики

    Няколко китайски APT групи, включително FlaxTyphoon, WebWorm и Gallium, са преминали към използване на отворения софтуер SoftEtherVPN. Той е основен инструмент за поддържане на достъп до компрометираните мрежи. Този подход им позволява да заобикалят защитни стени, като същевременно трафикът им изглежда легитимен.

    Групата MirrorFace, известна с атаките си срещу японски организации, за първи път е насочила вниманието си към европейска дипломатическа организация. За целта тя е използвала Световното изложение 2025 в Осака като примамка.

    Интересен момент е завръщането на backdoor инструмента NL след 5-годишно отсъствие.

    Иран засилва присъствието си в Африка

    Групата Muddy Water, свързвана с иранското разузнаване, показва подобрение в офанзивните си способности.

    Наблюдава се засилено насочване към африкански финансови институции, което съвпада с търговските интереси на Техеран в Кения, Замбия и Гана.

    Израел остава основна цел, като групата проявява особен интерес към транспортния сектор.

    Северна Корея: От криптовалути до шпионаж

    Групата Lazarus продължава Operation Dreamjob, насочена към отбранителния сектор. Тя използва основно фалшиви предложения за работа. Нова кампания, наречена Deceptive Development, се фокусира върху freelance разработчици с цел кражба на криптовалути.

    KimSuki въвежда иновативна техника за злоупотреба с MSC файлове, която впоследствие е възприета и от други групи. Забелязва се засилена употреба на облачни услуги за хостване на примамливи документи и командни сървъри.

    Руски групи: Нови играчи и подобрени инструменти

    Идентифицирана е нова група, GreenCube, специализирана в кражба на credentials чрез уязвимости в Roundcube webmail. Групата е активна от 2022 г. и се фокусира върху правителствени и отбранителни организации в Гърция, Полша, Сърбия и Украйна.

    Gameretin остава най-активната APT група в Украйна. Тя постоянно подобрява инструментите си, включително Terosig за извличане на данни от Signal.

    Sandworm продължава да атакува критична инфраструктура в Украйна, демонстрирайки задълбочено познаване на Linux системите.

     

  • Разкриха „широкомащабна и значима“ китайска кампания за кибершпионаж срещу САЩ

    Разследването на усилията на китайското правителство да хакне телеком мрежите на САЩ е разкрило „широкомащабна и значима“ кампания за кибершпионаж. Тя е насочена към кражба на информация от правителствени служители и политически фигури, посочват от ФБР. 

    Хакери, свързани с Пекин, са компрометирали мрежите на „множество“ телекоми, за да получат достъп до личните комуникации на „ограничен брой лица“. Те са се опитали да копират „определена информация, предмет на искания от правоприлагащите органи на САЩ съгласно съдебни разпореждания“. 

    Предупреждението идва след няколко нашумели инцидента. През септември ФБР обяви, че е прекъснало мащабна китайска хакерска операция, известна като Flax Typhoon. Тя включваше инсталирането на зловреден софтуер на повече от 200 000 потребителски устройствакамери, видеорекордери и домашни и офис рутери.  

    Новините за продължителна хакерска кампания и кибершпионаж, насочени към изборите в САЩ от групи, свързани с Китай, не трябва да са изненада. Те са факт в продължение на десетилетия. Това, което се случва в политическата и икономическата сфера на САЩ, е изключително важно за Пекин и за останалия свят“, посочва в коментар Анди Гарт, директор по правителствените въпроси в ESET. 

    По думите му като се насочва към американската администрация, Китай вероятно търси ранна представа за бъдещата политика на САЩ. Освен това Пекин се стреми да идентифицира възможности за упражняване на влияние.  

    Китайските операции по кибершпионаж и други злонамерени дейности срещу интересите на САЩ едва ли ще спрат скоро. Това е предизвикателство, с което американските власти ще трябва да се справят в обозримо бъдеще“, категоричен е Гарт. 

     

  • 2025: Киберзаплахите, свързани с AI, се задълбочават

    Заплахите, свързани с AI, ще се задълбочат през 2025 и ще се появят нови сложни случаи на злонамерена употреба на технологията. 

    В същото време supply chain атаките ще се пренасочат от големите доставчици на софтуер към глобално възприетите библиотеки и рамки с отворен код. 

    Не на последно място, ще нараснат случаите на кражба на идентификационни данни и използването на infostealer злонамерени софтуери. Това важи и за атаките срещу уязвимости на web3 услуги. 

    Това са основните заключения в доклада на Google Cloud Cybersecurity Forecasts 2025. Според него киберпрестъпниците ще продължат да използват AI и LLM за разработване и мащабиране на сложни схеми за социално инженерство. Групите за кибершпионаж пък ще разчитат в по-голяма степен на deepfake като инструмент за кражба на самоличност и заобикаляне на системите за сигурност. 

    През 2025 г. LLM ще навлезе по-силно в инструментариума за разработка на зловреден софтуер. Технологията ще играе по-голяма роля и в изследването на уязвимостите и писането на код от страна на хакерите. 

    Авторите на доклада очакват също така LLM и deepfake технологиите да захранват повече кампании за манипулиране на информация в социалните медии и дезинформация. 

    „2025 е годината, в която AI ще премине от пилотни проекти и прототипи към широкомащабно приемане“, предупреждават авторите на доклада. 

     

     

  • Хакерски групи използват ChatGPT за създаване на малуер и кибератаки

    Спонсорирани от държавата хакерски групи от страни като Китай и Иран използват възможностите на ChatGPT, за да подобрят своите офанзивни кибер операции.  

    Според доклада Influence and Cyber Operations: An Update на OpenAI случаите на употреба варират от отстраняване на грешки в злонамерен код до генериране на съдържание за фишинг кампании и дезинформация в социалните медии. 

    Един от забележителните случаи включва китайска кампания, наречена SweetSpecter. Тя използва ChatGPT за шпиониране, изследване на уязвимости и разработване на зловреден софтуер. Групата дори е насочила неуспешна фишинг атака срещу служители на OpenAI. 

    CyberAv3ngers, иранска група, свързана с Корпуса на гвардейците на ислямската революция, пък изследва уязвимостите в индустриалните системи с помощта на AI модела. Освен това тя е генерирала скриптове за потенциални атаки срещу критична инфраструктура. 

    Друга иранска група – STORM-0817 – е разчитала на ChatGPT за разработване на зловреден софтуер за Android. Той е способен да открадне чувствителни потребителски данни, включително контакти, регистър на обажданията и информация за местоположението. 

  • Китайски хакери са шпионирали с месеци в мрежите на три водещи американски телекома

    Китайската хакерска група Salt Typhoon е проникнала в мрежите на поне три от големите американски доставчици на телекомуникационни услуги – Verizon, AT&T и Lumen Technologies – в резултат на значителен пробив в киберсигурността.

    Списъкът на засегнатите компании може да се окаже по-дълъг, тъй като нападателите са били внедрени в засегнатите системи в продължение на няколко месеца, преди да бъдат открити.

    Смята се, че операцията има за цел кражба на информация, свързана със законни федерални искания за подслушване. Хакерите обаче са получили достъп до по-широк интернет трафик в компрометираните мрежи, което поражда опасения за потенциална кражба и на други чувствителни данни.

    От ФБР предполагат, че зад кампанията стои Министерството на държавната сигурност на Китай.

     

  • Deepfake генератори разпространяват зловреден софтуер за кражба на данни

    Руската хакерска група FIN7 разпространява зловреден софтуер за кражба на данни чрез мрежа от фалшиви сайтове за генериране на nudefake deepfake технология за създаване на голи версии на снимки на облечени хора – с помощта на AI.  

    Мрежата от генератори работи под една и съща марка – AI Nude – и се популяризира чрез black hat SEO тактики, за да могат сайтовете да се класират високо в резултатите от търсенето. 

    Според компанията за следене на зловредната активност в интернет Silent Push сайтовете позволяват на потребителите да качват снимки на хора, които искат да „съблекат“. След като предполагаемият „deepnude“ бъде направен обаче, той не се показва на екрана. Вместо това потребителят е подканен да кликне върху връзка, за да изтегли създаденото изображение.  

    Това го води към друг сайт, който показва връзка за защитен с парола архив, хостван в Dropbox. Архивът обаче съдържа зловредния софтуер Lumma Stealer, който краде информация, идентификационни данни и бисквитки, записани в уеб браузърите, портфейли за криптовалута и др. 

    Всичките седем сайта, открити от Silent Push, са свалени вече, но винаги бъдете много внимателни, когато различни онлайн платформи ви предлагат свободен достъп до напреднали технологии. Понякога безплатното излиза най-скъпо. Особено в интернет. 

  • Хакери предизвикаха хаос в разпространението на големите вестници в САЩ

    Хакерска атака предизвика хаос в разпространението на някои от най-големите вестници в САЩ. Причината е малуер, заразил информационните системи на издателството Tribune Publishing. Заради атаката много потребители са получили със закъснение или не са получили въобще съботното издание на вестника, за който са абонирани.

    Проблемът е засегнал популярни издания като New York Times, Wall Street Journal, Los Angeles Times, Chicago Tribune Baltimore Sun. Не всички те се издават от Tribune Publishing, но използват софтуер или печатници, които се управляват от издателството.

    „Екипите работиха усърдно, за да изолират компютърния вирус, но той се разпространи в мрежата на Tribune Publishing и засегна критично важни за производствените процеси системи. Много вестници са засегнати от атаката, тъй като разчитат на тези производствени процеси“, коментира Los Angeles Times, едно от засегнатите издания.

    Все още няма информация каква част от абонатите на засегнатите вестници не са получили своите копия, нито пък на колко се оценяват щетите от атаката. Малко се знае и за самата атака. Според Дейви Уиндър, който е колумнист на Forbes, атаката е осъществена с рансъмуера Ryuk. Официална информация обаче няма.

    Таргетираните рансъмуер атаки са едно от най-доходоносните компютърни престъпления според проучване на Sophos.

    Един от най-пострадалите вестници е San Diego Union-Tribune. Между 85 и 90% от съботния(29 декември) тираж на вестника не е стигнал навреме до абонатите по данни на Los Angeles Times.

     

Back to top button