Bezpečnostní experti ze společnosti Positive Technologies publikovali informace o čínské hackerské skupině Calypso, která od roku 2016 útočila na vládní organizace v několika zemích. Konkrétně se zaměřila na instituce v Indii, Brazílii, Kazachstánu, Rusku, Thajsku a Turecku.
Útočníci se prolamovali do počítačových sítí a k dalšímu pohybu v nich používali buď zranitelnosti, umožňující vzdálené spuštění kódu, nebo odcizené přihlašovací údaje. Díky tomu mohla skupina úspěšně poškodit vládní organizace v každé zemi, na kterou se zaměřila.
Nezáplatované díry jako brána
K přesvědčení, že se jedná o čínskou skupinu, vedlo odborníky použití škodlivého softwaru PlugX, který se těší oblibě právě v Číně. Uvedenou skutečnost následně potvrdilo i odkrytí několika IP adres útočníků, jež patřily do sítí čínských poskytovatelů internetu.
K průniku sítí byla nejčastěji používána dva roky stará bezpečnostní díra MS17-010 ve Windows Server SMB, na kterou sice Microsoft již v roce 2017 vydal záplatu, avšak ta na napadených strojích nebyla z nějakého důvodu nainstalována.
K aktivitám uvnitř sítě používali hackeři veřejně dostupné nástroje pro správu jako jsou SysInternals, Mimikatz, EternalBlue, EternalRomance a řada dalších. S jejich pomocí pak napadali počítače a kradli důvěrná data.
Obrana není jednoduchá
Podle odborníků se mohou organizace těmto útokům bránit použitím specializovaných systémů pro hloubkovou analýzu síťového provozu. Tyto nástroje usnadňují detekci podezřelé činnosti v raných fázích průniku útočníků do LAN a poté zabrání hackerům v pohybu firemní infrastrukturou.
Experti poprvé zaznamenali činnost skupiny Calypso v březnu 2019 při vyhledávání hrozeb. Následně shromáždili několik vzorků malwaru, který skupina používala, identifikovali zasažené organizace a několik řídících serverů.
Dle Positive Technologies má skupina za sebou několik úspěšných hacků, ale stále dělá chyby, které umožňují detekovat její původ. Získaná data naznačují, že používá malware, který nikdo předtím nepopsal. Odborníci očekávají, že Calypso dříve či později znovu zaútočí.
