Bitdefender: România, pe lista țărilor vizate de o grupare de spionaj și furt de date sensibile de la instituții publice și diplomatice

Producătorul global de soluții de securitate cibernetică Bitdefender avertizează asupra unei campanii de spionaj cibernetic în desfășurare, orchestrată de gruparea UAC-0063. Folosind tactici sofisticate, atacatorii vizează entități guvernamentale și diplomatice din Asia Centrală și Europa, inclusiv România.

Ce este UAC-0063 și cum operează?

UAC-0063 este o grupare specializată în spionaj cibernetic și furt de date sensibile. Activă încă din 2022, UAC-0063 a început să vizeze ținte din Asia Centrală, iar acum și-a extins activitatea și în Europa. Printre ținte se numără ambasade și instituții guvernamentale din Germania, Olanda, Marea Britanie, Georgia și România.

Atacatorii au dezvoltat o tehnică avansată de atac, bazată pe documente Word compromise. Aceste fișiere sunt distribuite prin e-mailuri de tip phishing și conțin macro-uri infectate care, odată activate, instalează amenințări informatice pe dispozitivele victimelor. În unele cazuri, atacatorii au reutilizat documente autentice furate anterior de la instituții diplomatice.

Cum are loc atacul?

1. Atacul începe cu un e-mail de phishing ce conține un link către un document Word compromis.
2. La deschiderea fișierului, utilizatorului i se cere să activeze macro-urile, o tehnică de inginerie socială care sugerează că acest pas este necesar pentru a vizualiza conținutul. Odată activate, macro-urile declanșează instalarea amenințării informatice.
3. Odată infectat, dispozitivul începe să transmită date către serverele atacatorilor și poate fi folosit pentru noi atacuri asupra altor ținte.

Atacurile UAC-0063 au fost confirmate și în România, unde au fost identificate tentative de infectare folosind variante mai sofisticate ale amenințării informatice. Pe 4 aprilie 2024, o versiune compilată a acestuia, protejată prin tehnici avansate de camuflare a codului, a fost detectată pe un sistem din România.

CERT-UA (Instituția de Răspuns la Incidente de Securitate Cibernetică din Ucraina) atribuie UAC-0063 grupării ruse APT28 (BlueDelta), însă fără dovezi tehnice clare. Deși atacatorii folosesc tactici similare cu cele ale APT28, nu există încă o confirmare definitivă. Totuși, faptul că atacurile vizează entități diplomatice și guvernamentale din regiuni de interes pentru Rusia ridică semne de întrebare cu privire la posibila motivație geopolitică a acestor operațiuni.

Măsuri de protecție recomandate

Pentru a combate eficient amenințările cibernetice, fie ele trecute, prezente sau viitoare, este esențială o strategie de securitate bazată pe mai multe niveluri de protecție.

Prevenție: Primul pas în reducerea riscului de atac este minimizarea suprafeței de expunere. Gestionarea proactivă a riscurilor, prin evaluări de vulnerabilitate și scenarii de amenințare, ajută la identificarea și eliminarea punctelor slabe înainte ca acestea să fie exploatate de atacatori precum UAC-0063.

Protecție: Implementarea mai multor straturi de securitate pentru dispozitive și utilizatori îngreunează semnificativ accesul atacatorilor. Este important să existe un echilibru între blocarea activităților periculoase și semnalarea comportamentului suspect, pentru evitarea alertelor false care pot afecta eficiența sistemelor.

Detectare și răspuns rapid: Majoritatea atacurilor moderne se desfășoară pe parcursul mai multor zile sau chiar săptămâni, timp în care atacatorii își extind accesul la noi sisteme și date. Cercetările arată că atacatorii lasă în mod frecvent semnale care pot fi detectate, însă două probleme majore împiedică un răspuns eficient:

• Lipsa unor soluții avansate de monitorizare, cum ar fi EDR (Endpoint Detection and Response) sau XDR (Extended Detection and Response), care pot identifica și corela comportamente suspecte, chiar dacă acestea nu sunt imediat recunoscute.

• Capacitatea limitată de analiză și reacție. Chiar dacă soluțiile de securitate detectează anomalii, echipele de securitate trebuie să le investigheze și să acționeze rapid. Lipsa personalului specializat sau a resurselor poate duce la întârzieri în răspuns și permite atacatorilor să își continue operațiunile.

Indicatori de compromitere (IOCs)

Soluțiile de threat intelligence oferă informații esențiale despre atacuri cibernetice. Bitdefender IntelliZone este o platformă intuitivă care centralizează aceste informații și actorii implicați și oferă analiștilor de securitate acces la servicii avansate de analiză malware. Informații suplimentare sunt structurate în platformă sub Threat ID BDb3u1e5tx.

Cercetarea completă e disponibilă aici: https://www.bitdefender.com/en-us/blog/businessinsights/uac-0063-cyber-espionage-operation-expanding-from-central-asia

Perspectiva victimei: Document Microsoft Word cu conținut estompat și avertizare privind macro-urile (estomparea dispare după activarea macro-urilor).

Despre Bitdefender

Bitdefender este un lider recunoscut în domeniul securității IT, care oferă soluții superioare de prevenție, detecție și răspuns la incidente de securitate cibernetică. Milioane de sisteme folosite de oameni, companii și instituții guvernamentale sunt protejate de soluțiile companiei, ceea ce face Bitdefender unul dintre cei mai de încredere experți în combaterea amenințărilor informatice, în protejarea intimității și datelor, a identității digitale și în consolidarea rezilienței la atacuri. Ca urmare a investițiilor susținute în cercetare și dezvoltare, laboratoarele Bitdefender descoperă sute de noi amenințări informatice în fiecare minut și validează zilnic 30 de miliarde de interogări privind amenințările. Compania a inovat constant în domenii precum antimalware, Internetul Lucrurilor, analiză comportamentală și inteligență artificială, iar tehnologiile Bitdefender sunt licențiate către peste 150 dintre cele mai cunoscute branduri de securitate din lume. Fondată în 2001, compania Bitdefender are clienți în peste 170 de țări și birouri pe toate continentele. Mai multe detalii sunt disponibile pe www.bitdefender.ro.