România se numără printre țările vizate de o grupare de spionaj cibernetic care fură date sensibile, conform unei cercetări realizate de Bitdefender

Conform unei investigații recente efectuate de Bitdefender, gruparea UAC-0063, activă din 2022 în spionajul cibernetic și furtul de date sensibile din Asia Centrală, și-a extins acum misiunile în Europa, având printre țintele sale ambasadele și instituțiile guvernamentale din România, Germania, Olanda, Marea Britanie și Georgia.

Bitdefender subliniază o campanie activă de spionaj cibernetic condusă de această grupare UAC-0063. Aceștia folosesc metode avansate pentru a ataca instituții diplomatice și guvernamentale din Asia Centrală și Europa, inclusiv România.

Despre UAC-0063 și metodologia de operare

UAC-0063 reprezintă o organizație specializată în spionajul cibernetic și furtul de informații sensibile. De când a început activitatea sa în 2022, a avut inițial ca ținte instituții din Asia Centrală, extinzându-se ulterior în Europa, cu scopul de a ataca ambasade și agenții guvernamentale din Germania, Olanda, Marea Britanie, Georgia și România, conform comunicatului de presă al Bitdefender.

Gruparea a dezvoltat o metodă avansată de atac bazată pe documente Word compromise, care sunt distribuite prin e-mailuri de tip phishing. Aceste documente conțin macro-uri infectate; odată ce utilizatorii le activează, amenințările informatice sunt instalate pe dispozitivele acestora. În unele situații, atacatorii au reutilizat documente autentice furate anterior de la instituții diplomatice.

Mecanismul atacului

Atacul începe cu un e-mail de phishing care conține un link către un document Word compromis, conform explicațiilor oferite de Bitdefender.

La deschiderea documentului, utilizatorii sunt invitați să activeze macro-urile, o tactică de inginerie socială care le sugerează că această acțiune este necesară pentru a vizualiza conținutul. Odată activate, macro-urile inițiază instalarea unei amenințări informatice.

După infectare, dispozitivele afectate încep să transmită date către serverele atacatorilor și pot fi folosite pentru a lansa atacuri suplimentare asupra altor ținte.

Atacurile grupării UAC-0063 au fost de asemenea confirmate și în România, unde s-au observat tentative de infectare utilizând versiuni mai sofisticate ale amenințării. Pe 4 aprilie 2024, o variantă avansată a acestui atac a fost depistată pe un sistem din România.

CERT-UA, entitatea responsabilă cu răspunsul la incidentele de securitate cibernetică din Ucraina, îl leagă pe UAC-0063 de gruparea rusă APT28 (BlueDelta), deși nu există dovezi tehnice clare. Deși metodele de atac sunt similare, nu există o confirmare oficială. Cu toate acestea, având în vedere că ţintele vizează instituții diplomatice și guvernamentale din zone de interes pentru Rusia, există întrebări legate de posibilele motivații geopolitice ale acestor acțiuni.

Recomandări pentru protecție

Pentru a face față eficient amenințărilor cibernetice, este crucială implementarea unei strategii de securitate stratificate.

Prevenție: Primul pas în reducerea riscurilor de atac este minimizarea suprafeței de expunere. Evaluările de vulnerabilitate și analiza scenariilor de amenințare ajută la identificarea și înlăturarea posibilelor puncte slabe înainte ca acestea să fie exploatate de atacatori precum UAC-0063.

Protecție: Crearea unor straturi multiple de securitate pentru dispozitive și utilizatori îngreunează semnificativ accesul atacatorilor. Este esențial să se mențină un echilibru între blocarea activităților periculoase și semnalizarea comportamentului suspect pentru a evita alertele false care pot afecta eficiența sistemelor.

Detectare și reacție rapidă: Multe atacuri moderne se desfășoară pe parcursul mai multor zile sau săptămâni, timp în care atacatorii pot extinde accesul la noi sisteme și date. Studiile arată că aceștia lasă frecvent semnale detectabile, dar două probleme majore limitează un răspuns eficient:

Lipsa soluțiilor avansate de monitorizare, cum ar fi EDR (Endpoint Detection and Response) sau XDR (Extended Detection and Response), capabile să identifice și să coreleze comportamente suspecte, chiar dacă acestea nu sunt imediat recunoscute.

Capacitatea limitată de analiză și reacție. Deși soluțiile de securitate pot detecta anomalii, echipele de securitate trebuie să le investigheze și să acționeze rapid. Resursele insuficiente sau lipsa personalului specializat pot duce la întârzieri în răspuns, permițând atacatorilor să își continue activitățile.

Sursa foto: Dreamstime.com