ESET: EU was afgelopen jaar doelwit van Russische spionage
Na de door Hamas geleide aanval op Israël in oktober 2023, en gedurende de voortdurende oorlog in Gaza, is een significante toename in activiteit zichtbaar van dreigingsgroepen die gelieerd zijn aan Iran. Ook hebben aan Rusland gelieerde groepen afgelopen jaar hun activiteiten gericht op spionage binnen de Europese Unie en aanvallen tegen Oekraïne.
Dit blijkt uit het nieuwste APT Activity Report van securitybedrijf ESET. Het rapport geeft een overzicht van opmerkelijke activiteiten van geselecteerde APT-groepen (advanced persistent threat) die door ESET-onderzoekers zijn gedocumenteerd van oktober 2023 tot eind maart 2024. De uitgelichte activiteiten zijn representatief voor het bredere dreigingslandschap dat ESET-onderzoekers in deze periode hebben onderzocht en illustreren belangrijke trends en ontwikkelingen.
Kwetsbaarheden in VPN's en firewalls
Het rapport wijst ook op verschillende Chinese dreigingsactoren die gebruik maken van kwetsbaarheden in publieke apparaten, zoals VPN's en firewalls, en software, zoals Confluence en Microsoft Exchange Server, voor initiële toegang tot doelwitten in verschillende sectoren. Noord-Koreaanse groepen richtten zich opnieuw op luchtvaart- en defensiebedrijven en de cryptocurrency-industrie.
“De doelwitten van de meeste campagnes waren overheidsorganisaties en bepaalde verticale segmenten: bijvoorbeeld de doelwitten van de aanhoudende en meedogenloze aanvallen op de Oekraïense infrastructuur. Europa kreeg te maken met een meer diverse reeks aanvallen van verschillende dreigingsactoren. Rusland-gebonden groepen versterkten hun focus op spionage in de Europese Unie, waar China-gebonden dreigingsactoren ook een consistente aanwezigheid hebben, wat duidt op een voortdurende interesse in Europese zaken door zowel Rusland- als China-gebonden groepen,” zegt Jean-Ian Boutin, directeur van Threat Research bij ESET.
Spionage door Chinees beveiligingsbedrijf
Op basis van het datalek van het Chinese beveiligingsbedrijf I-SOON (Anxun) meldt ESET Research dat deze Chinese onderneming zich bezighoudt met cyberspionage. ESET volgt een deel van de activiteiten van het bedrijf onder de FishMonger groep. In dit laatste rapport introduceert ESET ook een nieuwe APT-groep, CeranaKeeper, die zich onderscheidt door unieke kenmerken, maar die mogelijk gerelateerd is aan de digitale voetafdruk van de Mustang Panda-groep.
In het geval van de Iranese APT-groepen zijn MuddyWater en Agrius overgestapt van hun eerdere focus op respectievelijk cyberspionage en ransomware naar agressievere strategieën zoals access brokering en impactaanvallen. Ondertussen namen de activiteiten van OilRig en Ballistic Bobcat af, wat duidt op een strategische verschuiving naar meer opvallende, “luidere” operaties gericht op Israël.
Operatie Texonto
Wat betreft de activiteiten aan Rusland gelieerde APT-groepen wijst ESET onder meer op de desinformatie en psychologische operatie (PSYOP) Operatie Texonto campagne. Deze verspreidde valse informatie over aan de Russische verkiezingen gerelateerde protesten en de situatie in de oostelijke Oekraïense metropool Kharkiv, met als doel onzekerheid te zaaien onder Oekraïners in binnen- en buitenland.
Het rapport beschrijft ook de exploitatie van een zero-day kwetsbaarheid in Roundcube door Winter Vivern, een groep die volgens ESET is afgestemd op de belangen van Wit-Rusland. Daarnaast belicht ESET een campagne in het Midden-Oosten uitgevoerd door SturgeonPhisher, een groep die volgens ESET-onderzoekers de belangen van Kazachstan behartigt.
Het volledige ESET APT Activity Report is hier beschikbaar.
