Bitdefender: România, pe lista ţărilor vizate de o grupare de spionaj şi furt de date sensibile

UAC-0063 este o grupare specializată în spionaj cibernetic şi furt de date sensibile. Activă încă din 2022, UAC-0063 a început să vizeze ţinte din Asia Centrală, iar acum şi-a extins activitatea şi în Europa. Printre ţinte se numără ambasade şi instituţii guvernamentale din Germania, Olanda, Marea Britanie, Georgia şi România.

Atacatorii au dezvoltat o tehnică avansată de atac, bazată pe documente Word compromise. Aceste fişiere sunt distribuite prin e-mailuri de tip phishing şi conţin macro-uri infectate care, odată activate, instalează ameninţări informatice pe dispozitivele victimelor. În unele cazuri, atacatorii au reutilizat documente autentice furate anterior de la instituţii diplomatice.

Atacul începe cu un e-mail de phishing ce conţine un link către un document Word compromis.

La deschiderea fişierului, utilizatorului i se cere să activeze macro-urile, o tehnică de inginerie socială care sugerează că acest pas este necesar pentru a vizualiza conţinutul. Odată activate, macro-urile declanşează instalarea ameninţării informatice.

Odată infectat, dispozitivul începe să transmită date către serverele atacatorilor şi poate fi folosit pentru noi atacuri asupra altor ţinte.

Atacurile UAC-0063 au fost confirmate şi în România, unde au fost identificate tentative de infectare folosind variante mai sofisticate ale ameninţării informatice. Pe 4 aprilie 2024, o versiune compilată a acestuia, protejată prin tehnici avansate de camuflare a codului, a fost detectată pe un sistem din România.

CERT-UA (Instituţia de Răspuns la Incidente de Securitate Cibernetică din Ucraina) atribuie UAC-0063 grupării ruse APT28 (BlueDelta), însă fără dovezi tehnice clare. Deşi atacatorii folosesc tactici similare cu cele ale APT28, nu există încă o confirmare definitivă. Totuşi, faptul că atacurile vizează entităţi diplomatice şi guvernamentale din regiuni de interes pentru Rusia ridică semne de întrebare cu privire la posibila motivaţie geopolitică a acestor operaţiuni.

Măsuri de protecţie recomandate

Pentru a combate eficient ameninţările cibernetice, fie ele trecute, prezente sau viitoare, este esenţială o strategie de securitate bazată pe mai multe niveluri de protecţie.

Prevenţie: Primul pas în reducerea riscului de atac este minimizarea suprafeţei de expunere. Gestionarea proactivă a riscurilor, prin evaluări de vulnerabilitate şi scenarii de ameninţare, ajută la identificarea şi eliminarea punctelor slabe înainte ca acestea să fie exploatate de atacatori precum UAC-0063.

Protecţie: Implementarea mai multor straturi de securitate pentru dispozitive şi utilizatori îngreunează semnificativ accesul atacatorilor. Este important să existe un echilibru între blocarea activităţilor periculoase şi semnalarea comportamentului suspect, pentru evitarea alertelor false care pot afecta eficienţa sistemelor.

Detectare şi răspuns rapid: Majoritatea atacurilor moderne se desfăşoară pe parcursul mai multor zile sau chiar săptămâni, timp în care atacatorii îşi extind accesul la noi sisteme şi date. Cercetările arată că atacatorii lasă în mod frecvent semnale care pot fi detectate, însă două probleme majore împiedică un răspuns eficient:

Lipsa unor soluţii avansate de monitorizare, cum ar fi EDR (Endpoint Detection and Response) sau XDR (Extended Detection and Response), care pot identifica şi corela comportamente suspecte, chiar dacă acestea nu sunt imediat recunoscute.

Capacitatea limitată de analiză şi reacţie. Chiar dacă soluţiile de securitate detectează anomalii, echipele de securitate trebuie să le investigheze şi să acţioneze rapid. Lipsa personalului specializat sau a resurselor poate duce la întârzieri în răspuns şi permite atacatorilor să îşi continue operaţiunile.

Indicatori de compromitere (IOCs)

Soluţiile de threat intelligence oferă informaţii esenţiale despre atacuri cibernetice. Bitdefender IntelliZone este o platformă intuitivă care centralizează aceste informaţii şi actorii implicaţi şi oferă analiştilor de securitate acces la servicii avansate de analiză malware.