Kyberšpionáž proti cílům v České republice. Transparent Tribe útočil na tisícovku citlivých cílů

V lednu minulého roku začala společnost Kaspersky zkoumat a sledovat probíhající kampaň, za jejímž spuštěním stojí hackerská skupina známá jako Transparent Tribe. Útočníci se snažili infikovat počítače obětí pomocí Crimsom Remote Access Trojanu (RAT – trojského koně, umožňujícího vzdálený přístup do počítače). Ten rozesílali jako škodlivý Microsoft Office dokument ve spear-phishingových e-mailech. V průběhu roku se odborníkům podařilo najít více než tisíc cílů v bezmála třicítce zemí, mezi nimiž figuruje i Česká republika.
Hackerská skupina Transparent Tribe (také známá jako PROJECTM nebo MYTHIC LEOPARD) je v rámci oboru kyberbezpečnosti dobře známá kyberšpionážní skupina, která je velmi produktivní. Svoji činnost zahájila pravděpodobně v roce 2013, přičemž odborníci z Kaspersky ji sledují od roku 2016.
Nejoblíbenější metodou těchto hackerů je rozesílání škodlivých dokumentů s vloženým makrem. Jako hlavní malware používá vlastní .NET RAT – všeobecně známý jako Crimson RAT. Tento nástroj se skládá z několika částí, které útočníkovi umožňují provádět na infikovaných počítačích více činností. Od vzdáleného ovládání systémových složek a snímání obrazovky, přes nahrávání zvuků v okolí počítače prostřednictvím mikrofonu až po nahrávání streamu přes webkameru nebo krádeže souborů z vyměnitelných médií.
Zatímco taktika a techniky skupiny zůstávají v průběhu let konzistentní, odborníci z Kaspersky zjistili, že hackeři neustále vytváří nové programy specifické pro konkrétní kampaň. Během loňské analýzy činností této skupiny zaznamenali odborníci .NET soubor, který produkty Kaspersky detekovaly jako Crimson RAT. Detailnější analýza ale ukázala, že se jedná o něco jiného – o novou server-side Crimson RAT komponentu, kterou útočníci využívají k ovládání infikovaných zařízení. Vzhledem k tomu, že existuje ve dvou verzích, které byly sestaveny v letech 2017, 2018 a 2019 je jasné, že se jedná o software, který je stále ve vývoji a na jehož vylepšeních skupina pořád pracuje.
Díky aktualizovanému seznamu komponent, které Transparent Tribe používá, byli odborníci společnosti Kaspersky schopni sledovat vývoj skupiny i intenzitu jejích aktivit. Mají tak ucelený obraz o tom, jak spouštějí své masivní kampaně, jakým způsobem vyvíjejí nové nástroje nebo na jaké konkrétní cíle upírají pozornost.
Díky všem těmto indiciím, které odborníci z Kaspersky odhalili mezi červnem 2019 a červnem 2020, objevili celkem 1 093 cílů ve 27 zemích, které se staly obětí těchto hackerů. Mezi státy s nejvyšším počtem obětí patří Afghánistán, Pákistán, Indie, Írán a Německo. Do hledáčku kyberzločinců se dostala i Česká republika, kde však odborníci zaznamenali jen jednotky napadených systémů.
„Z naší analýzy vyplývá, že je Transparent Tribe stále velmi aktivní a cílí na řadu subjektů. Během posledních 12 měsíců jsme pozorovali rozsáhlou kampaň zacílenou proti vojenským a diplomatickým cílům. Skupina neustále investuje do svého hlavního nástroje Crimson RAT, jehož prostřednictvím provádí špionážní útoky na citlivé cíle. Je proto zřejmé, že ve svých aktivitách v nejbližší době nepoleví,“ varuje Giampaolo Dedola, bezpečnostní odborník ze společnosti Kaspersky. Celý report o aktivitách této kyberzločinecké skupiny je dostupný na blogu Securelist. (27.8.2020)