Představte si, že dostanete na LinkedIn zprávu od personalistky z Boeingu nebo Airbusu. Nabízí vám skvělou kariérní příležitost. Kliknete na odkaz, přihlásíte se na nový náborový portál a stáhnete si dokumenty s popisem pozice. Jenže místo začátku nové kariéry jste právě propustili do svého počítače sofistikovaný malware. Přesně takto operuje íránská hackerská skupina Nimbus Manticore, která rozšířila své aktivity do Evropy.
Kyberbezpečnostní společnost Check Point Software Technologies teď upozorňuje na nebezpečné kampaně této skupiny, známé také jako UNC1549 nebo Smoke Sandstorm. Útočníci se zaměřují na letecké, telekomunikační a obranné organizace v Evropě a na Blízkém východě. A jejich metody jsou děsivě propracované.
Falešné portály jako past na důvěřivé
Útoky začínají nenápadně, phishingovou zprávou s odkazem na pracovní nebo náborový web. Stránky vypadají legitimně, protože napodobují renomované společnosti jako Boeing, Airbus, Rheinmetall nebo flydubai. Útočníci používají stejnou šablonu, kterou přizpůsobují imitované značce. Domény obvykle obsahují slova typu „kariéra“ a využívají služby Cloudflare, aby skryly skutečnou hostingovou infrastrukturu.
Zdroj: Pixabay
Tady to začína být opravdu zajímavé. Každá oběť dostane unikátní přihlašovací údaje. Teprve po jejich zadání se stáhne nebezpečný soubor s malwarem. Útočníkům to umožňuje přesně sledovat, kdo na web vstupuje, a zablokovat nežádoucí návštěvníky, třeba výzkumníky z bezpečnostních firem. Tento kontrolovaný přístup hezky demonstruje opatrnost a zkušenost hackerů.
„Nástroje skupiny Nimbus Manticore se zaměřují na dvě hlavní oblasti. MiniJunk umožňuje útočníkům zůstat v infikovaném systému bez odhalení a MiniBrowse slouží ke krádežím citlivých informací. Oba nástroje jsou průběžně zdokonalovány,“ říká Peter Kovalčík, regionální ředitel Security Engineer Eastern Europe z kyberbezpečnostní společnosti Check Point Software Technologies.
LinkedIn jako lovecký revír
Souběžně s operacemi využívajícími MiniJunk probíhají i kampaně, které sázejí na podobné metody, ale jsou méně technicky náročné. Cíl zůstává stejný: přimět oběti, aby poskytly přístup, a získat z napadených organizací citlivé informace.
Útočníci se vydávají za HR pracovníky a kontaktují oběti primárně přes LinkedIn nebo jiné profesní platformy. Klasický scénář vypadá takto: Po navázání kontaktu přesouvají konverzaci do e-mailu a zasílají zprávy, které oběti nasměrují na falešné náborové portály. Každý uživatel dostane opět jedinečné přihlašovací údaje, aby útočníci měli přesnou kontrolu a přehled.
Kampaně jsou v souladu se strategickými cíli Íránských revolučních gard (IRGC) a zaměřují se na špionáž a krádeže citlivých informací. Nejde tedy o náhodné útoky, ale o cílené operace státního charakteru.
Jak se bránit?
Organizace musí využívat preventivní bezpečnostní technologie a zaměřit se na ochranu a blokování útoků dříve, než se dostanou k zaměstnancům. Nástroje jako Check Point Harmony Email & Collaboration chrání uživatele a firmy před spearphishingem, falešnými pracovními portály a škodlivými přílohami. Harmony Endpoint zabezpečuje zařízení proti pokročilému malwaru a poskytuje ochranu i v případě, že se mu nějak podaří překonat počáteční e-mailovou ohranu.
Quantum network security zachytí škodlivý provoz v síti a zabrání, aby hrozby mohly komunikovat s útočníky, stahovat škodlivé soubory nebo odesílat ukradená data.
Foto: Freepik AI
Ale i běžní zaměstnanci mohou přispět k větší bezpečnosti. Buďte obzvlášť opatrní u neočekávaných pracovních nabídek, zejména pokud přicházejí přes LinkedIn nebo podobné platformy. Vždy ověřujte legitimitu navštěvovaných webů, zkontrolujte doménu, vyhledejte informace o společnosti a neváhejte kontaktovat přímo HR oddělení údajného zaměstnavatele. Nikdy nestahujte soubory z neznámých zdrojů a v případě sebemenších pochybností informujte IT oddělení své organizace.
Íránská skupina Nimbus Manticore je příkladem toho, jak sofistikované mohou být současné kyberútoky. Nejde už o masové phishingové kampaně rozesílané na statisíce adres. Jde o precizně naplánované operace, které cílí na konkrétní osoby ve vybraných organizacích. A právě proto jsou tak nebezpečné…
Zdroj: Check Point Software Technologies
