Kyberzločinci špehujú svoje obete už roky. Čo z toho majú?

Keď sa povie bezpečnosť na internete, mnohí už otrávene mávnu rukou. Však čo, mobil si odomykám odtlačkom prsta, alebo tvárou, internet banking mám už roky pod bezpečným heslom, rovnako tak aj Gmail.

Bohužiaľ, svet nie je taký jednoduchý, ako by nám to mnohokrát vyhovovalo. Zločinci sú kreatívni a slušní ľudia (komunity, štáty) v permanentnom ohrození.

Asylum Ambuscade je skupina zaoberajúca sa počítačovou kriminalitou, ktorá vykonáva kyberšpionáž. Prvýkrát ich zverejnili v marci 2022 výskumníci spoločnosti Proofpoint krátko po tom čo sa skupina zamerala na zamestnancov európskej vlády zapojených do pomoci ukrajinským utečencom. Bolo to pár týždňov po začiatku rusko-ukrajinskej vojny.

Výskumníci z ESET-u priniesli analýzu kyberzločineckej skupiny Asylum Ambuscade, ktorá popri svojej činnosti vykonáva aj špionážne operácie. Skupina realizuje kyberšpionážne kampane minimálne od roku 2020. ESET odhalil jej útoky na vládnych predstaviteľov a zamestnancov štátnych inštitúcií v krajinách strednej Ázie a v Arménsku. V roku 2022 sa skupina údajne zamerala na vládnych predstaviteľov vo viacerých európskych krajinách susediacich s Ukrajinou.

Podľa zistení výskumníkov bolo cieľom útočníkov ukradnúť dôverné informácie a prihlasovacie údaje do webmailu z oficiálnych vládnych webmailových portálov. Asylum Ambuscade sa bežne zameriavala na malé a stredné firmy a jednotlivcov v severnej Amerike a Európe. Teraz kyberzločinci expandujú a rozširujú svoj záber „podnikania“.

Potvrdzuje to aj Matthieu Faou, výskumník z ESET-u, ktorý skúmal aktivity tejto skupiny. „Zdá sa, že skupina Asylum Ambuscade rozširuje svoje ťaženie a v poslednom období z času na čas uskutočňuje kybernetické špionážne kampane proti vládam v strednej Ázii a Európe. Je pomerne nezvyčajné natrafiť na kyberzločineckú skupinu, ktorá zároveň vykonáva špecializované kybernetické špionážne operácie. Výskumníci by preto mali pozorne sledovať aktivity tejto skupiny.“

Asylum Ambuscade v roku 2022 zaútočila na vládnych úradníkov v niekoľkých európskych krajinách susediacich s Ukrajinou, sa reťaz kompromitácií začala spearphishingovým e-mailom obsahujúcim škodlivú Excel alebo Word prílohu.

V prípade, že bol skompromitovaný počítač pre útočníkov zaujímavý, okamžite naňho nasadili AHKBOT, jednoduchý robot s automatickým klikaním. Tento downloader je možné ľahko rozšíriť o pluginy na špehovanie obete, sú vybavené nebezpečnými funkciami, napr. snímanie obrazovky, zaznamenávanie stlačení klávesov, kradnutie hesiel z webových prehliadačov, sťahovanie súborov či spustenie infostealera.

Skupina sa stala známou až teraz vďaka špionáži, no už od začiatku roka 2020 viedla najmä kampane zamerané na počítačovú kriminalitu. Od januára 2022 zaznamenal ESET viac ako 4 500 obetí po celom svete. Väčšina z nich pochádza zo severnej Ameriky, no ESET našiel obete aj v Ázii, Afrike, Európe a južnej Amerike. Útočníci sa zameriavajú na široké spektrum cieľov, najmä však na jednotlivcov, obchodníkov s kryptomenami, klientov bánk a malé a stredné firmy z rôznych oblastí.

„Spôsob útoku crimevérom je v prípade skupiny Asylum Ambuscade veľmi podobný tomu, ktorý vidíme aj pri ich špionážnych kampaniach. Hlavným rozdielom je vektor útoku, ktorým môže byť škodlivá Google reklama presmerovaná na webovú stránku, ktorá poskytuje škodlivý súbor JavaScript alebo viacnásobné presmerovania HTTP“, vysvetľuje Matthieu Faou.