Ukradeno 40.000 kredencijala za vladine sajtove širom sveta

Među više od 30 pogođenih država, nalaze se i zemlje iz okruženja – Hrvatska, Mađarska, Rumunija i Bugarska!

Ukradeno 40.000 kredencijala za vladine sajtove širom sveta

Istraživači iz Group-IB, firme koja se bavi sajber bezbednošću, otkrili su phishing napade na vladine sajtove i servise u više od 30 zemalja širom sveta. U napadima su ukradeni kredencijali zaposlenih, a moguće je da su ponuđeni na prodaju na dark webu.

Napadi su otkriveni istraživačkim tehnikama koje uključuju detekciju i obrnuti inženjering na malveru, kao i podatke iz digitalne forenzike.

Više od polovine žrtava je iz Italije (52%), zatim Saudijske Arabije (22%) i Portugala (5%). Među pogođenima su i zaposleni u državnim institucijama, vojsci i civilnim službama sa nalozima na zvaničnim sajtovima Francuske (gouv.fr), Poljske (gov.pl) i Švajcarske (admin.ch), a posebno je interesantno što su na listi i zemlje iz našeg okruženja – Hrvatska (gov.hr), Mađarska (gov.hu), Rumunija (gov.ro) i Bugarska (government.bg).

Takođe, pronađeni su i kredencijali za servise izraelskih odbrambenih snaga (idf.il), ministarstva finansija Gruzije (mof.ge), norveške imigracione služne (udi.no), ministarstva spoljnih poslova Rumunije i Italije, kao i ministarstva odbrane Italije (difesa.it).

O napadu su obavešteni CERT timovi iz pomenutih zemalja kako bi se preduzeli koraci za smanjenje rizika.

Phishing – i dalje najuspešnija pretnja

Napadači su do korisničkih imena i lozinki došli slanjem malicioznih email poruka koje su sadržale poznate spyware alate kao što je Pony Formgrabber, AZORult i Qbot (Qakbot). Phishing kampanja ciljala je i lične i poslovne email naloge, a malver je bio maskiran u legitimni fajl ili arhivu. Naravno, kada žrtva otvori atačment, malver ulazi u sistem i kreće u potragu za osetljivim informacijama.

Pony Formgrabber cilja preko 70 softvera i traži kredencijale u konfiguracionim fajlovima, bazama podataka i tajnim skladištima. Kada ih prikupi, šalje ih na C2 server napadača.

AZORult krade lozinke iz browsera i traži fajlove povezane sa kripto valutama. Ovaj alat ima puno funkcionalnosti, a jedna od njih je da može da bude i downloader koji isporučuje druge pretnje, poput Aurora ransomwarea.

Qbot (QakBot ili PinkSlip) je multifunkcionalni bankraski trojanac koji postoji više od 10 godina. Ostaje ispod radara i najčešće se koristi za napade na atraktivne mete. Ima i odlike crva koje mu omogućavaju širenje u kompromitovanoj mreži, a može i da krade web sesije, cookies i web sertifikate. Malver je takođe keylogger koji krade kredencijale.

Zaključak

Ukradeni kredencijali sa vladinih sajtova se ne sreću tako često u ponudi na crnom sajber tržištu, odnosno dark web forumima zbog toga što kupcima ne donose trenutnu finansijsku korist. Ali, za naprednije napadače kao što su APT grupe, ovi kredencijali su izuzetno vredni. Pomoću njih napadači mogu doći do poverljivih informacija odnosno mogu da se infiltriraju, špijuniraju i otkriju državne tajne.

Izvor: Group-IB