Venäjän tiedustelupalveluun yhdistetty hakkeriryhmä käyttää uudessa kampanjassaan aseenaan pilvipalveluita.

Venäjän hallintoon yhdistetyn hakkeriryhmän uusimmat hyökkäykset hyödyntävät Google Drivea ja DropBoxia. Kuva: Colourbox

Tietoturvayhtiö Palo Alto Networks varoittaa tiedotteessaan hakkerointikampanjasta, jossa ihmisten tietoja kalastellaan salakavalaa reittiä.

Syypäänä yhtiö pitää Venäjän valtioon yhdistettyä, esimerkiksi APT29 tai Cloaked Ursa -nimillä tunnettua hakkeriryhmittymää. Kyseinen ryhmä on ollut aktiivinen lähes 15 vuotta ja oli tiettävästi esimerkiksi vuoden 2020 massiivisen SolarWinds-tietomurron takana. Yhdysvallat ja Britannia uskovat ryhmän toimivan Venäjän ulkomaantiedustelupalvelun alaisuudessa.

Ryhmän uusin hakkerointikeino on tapahtumakutsuksi naamioitu huijausviesti, josta löytyvän tiedoston avaaminen mahdollistaa vakoiluohjelman ujuttamisen laitteelle. Yhtiön mukaan kalasteluun käytetyt viestit esittävät esimerkiksi suurlähetystöjen virallisia sähköposteja pienin eroavaisuuksin aitoihin.

Kampanja on kevään mittaan vaihtanut kohteitaan ja hieman kalastelun yksityiskohtia, mutta se oli vielä täydessä vauhdissaan ainakin kesäkuussa. Kalastelua on kohdennettu esimerkiksi erinäisiin diplomaatteihin ainakin Brasiliassa ja Portugalissa.

Lue lisää: Venäläishakkerit ottivat nyt kohteekseen Norjan - tällainen on Killnet

Viesteistä löytyy PDF-tiedostojen ohella viralliselta vaikuttavia linkkejä, joita avaavan henkilön koneelle latautuu EnvyScout-niminen haittaohjelma, jota käytetään eräänlaisena ankkurina. Sen avulla hakkerit pystyvät lataamaan entistä vaarallisempia ohjelmia kohteelleen DropBoxin tai Google Driven kautta.

Molemmat ovat kavalia keinoja, sillä kyseisten palveluiden laajan käytön ansiosta niiden avulla voidaan erinäisin keinoin kiertää koneiden ja verkkojen suojaukset. Niiden kautta uhreja vastaan on isketty esimerkiksi Cobalt Strike -ohjelmalla, joka on myös tietoturvayhtiöiden käyttämä työkalu turvajärjestelmien testaamista varten.

Toistaiseksi kampanjan kohteina ovat Palo Alton mukaan olleet pääasiassa useat diplomaatit sekä eräiden Nato-maiden valtiolliset toimijat, mutta teknisesti vastaavanlainen kalasteluyritys voidaan kohdistaa myös siviiliin. Huijauksen välttämisessä pätee kuitenkin sama vanha sääntö: tuntemattomia tai epäilyttäviä linkkejä tai liitteitä ei kannata koskaan avata.