Η Ομάδα Ανάλυσης Απειλών Google (TAG) λέει ότι όλο και περισσότεροι παράγοντες απειλών χρησιμοποιούν τώρα τον πόλεμο της Ρωσίας στην Ουκρανία για να στοχεύσουν χώρες της Ανατολικής Ευρώπης και του ΝΑΤΟ, συμπεριλαμβανομένης της Ουκρανίας, σε επιθέσεις phishing και κακόβουλου λογισμικού.
Το αποκορύφωμα της έκθεσης είναι οι επιθέσεις ηλεκτρονικού ψαρέματος διαπιστευτηρίων που συντονίζονται από μια ομάδα απειλών με έδρα τη Ρωσία που παρακολουθείται ως COLDRIVER εναντίον ενός Κέντρου Αριστείας του ΝΑΤΟ και στρατιωτικών δυνάμεων της Ανατολικής Ευρώπης.
Οι Ρώσοι χάκερ στόχευσαν επίσης έναν Ουκρανό εργολάβο άμυνας και αρκετές μη κυβερνητικές οργανώσεις (ΜΚΟ) και δεξαμενές σκέψης με έδρα τις ΗΠΑ.
“Οι υποστηριζόμενοι από την κυβέρνηση φορείς από την Κίνα, το Ιράν, τη Βόρεια Κορέα και τη Ρωσία, καθώς και διάφορες ομάδες που δεν έχουν αποδοθεί, έχουν χρησιμοποιήσει διάφορα θέματα που σχετίζονται με τον πόλεμο της Ουκρανίας σε μια προσπάθεια να βάλουν στόχους για να ανοίξουν κακόβουλα μηνύματα ηλεκτρονικού ταχυδρομείου ή να κάνουν κλικ σε κακόβουλους συνδέσμους,” Google TAG Security Engineer είπε ο Μπίλι Λέοναρντ.
Όπως παρατήρησαν επίσης οι αναλυτές απειλών της Google, το Curious Gorge, μια ομάδα χάκερ που συνδέεται με την κινεζική PLA SSF (Στρατηγική Δύναμη Στρατηγικής Υποστήριξης του Λαϊκού Απελευθερωτικού Στρατού), στόχευσε κυβερνητικούς και στρατιωτικούς οργανισμούς από την Ουκρανία, τη Ρωσία, το Καζακστάν και τη Μογγολία.
Ο Ghostwriter, ένας δημιουργός απειλών που υποστηρίζεται από τη Λευκορωσία, εθεάθη να χρησιμοποιεί μια σχετικά νέα τεχνική ηλεκτρονικού “ψαρέματος” γνωστή ως “ψάρεμα” του Browser in the Browser (BitB), η οποία αποκαλύφθηκε δημόσια στα μέσα Μαρτίου και υιοθετήθηκε επίσης από άλλα APT που χρηματοδοτούνται από την κυβέρνηση.
Οι εκστρατείες ηλεκτρονικού “ψαρέματος” διαπιστευτηρίων των κρατικών χάκερ της Λευκορωσίας είχαν στο παρελθόν στοχεύσει Ουκρανούς αξιωματούχους και στρατιωτικό προσωπικό [1, 2] και Ευρωπαίους αξιωματούχους βοήθειας για τους πρόσφυγες.
“Οι παράγοντες με οικονομικά κίνητρα και εγκληματίες χρησιμοποιούν επίσης τα τρέχοντα γεγονότα ως μέσο στόχευσης χρηστών. Για παράδειγμα, ένας ηθοποιός υποδύεται στρατιωτικό προσωπικό για να εκβιάσει χρήματα για τη διάσωση συγγενών στην Ουκρανία”, πρόσθεσε.
“Η TAG συνέχισε επίσης να παρατηρεί πολλούς μεσίτες ransomware που συνεχίζουν να δραστηριοποιούνται με μια συνήθη έννοια”.
