A távközlési szolgáltató Rostelecom és az orosz titkosszolgálat (FSB) kibervédelemre szakosodott egysége idén májusban közösen hozott nyilvánosságra részleteket egy még 2020-ben felfedezett, nagyszabású hekkelési akcióról. Ennek keretében több kormányzati szervezetet, köztük magát az FSB-t is internetes támadás ért.

A jelentés szerint az elkövetők a Mail-O elnevezésű malware-t használták, amely orosz cloud szolgáltatók (Yandex, Mail.ru) megbízható menedzsment alkalmazásainak álcázva magát volt képes fertőzni. A sikeres behatolást követően a malware elkezd kívülről fájlokat letölteni, amelyek segítségével levelezési fiókokat tud manipulálni, illetve dokumentumokat, információkat kinyerni a megfertőzött rendszerből.

Nem mindig a kertész a gyilkos

Az esettel kapcsolatban a SentinelOne biztonsági cég szakértője a héten érdekes kiegészítéseket tett. Juan Andrés Guerrero-Saade blogbejegyzését azzal kezdi, hogy a célpontok ismeretében a legtöbben azonnal valamelyik nyugati államra, vagy konkrétan az Egyesült Államokra tippeltek mint lehetséges elkövető. A biztonsági kutató vizsgálatai alapján viszont több olyan eleme is van az ügynek, ami miatt ez a feltételezés minden bizonnyal téves.

Ez már csak azért sem valószínű, állítja Guerrero-Saade, mivel a használt eszköztár nem közelíti meg azt a minőségi színvonalat, amit "megszokhattunk" a világ nyugati felén ezen a vonalon tevékenykedő szereplőktől. Ennél ugyanakkor konkrétabb nyomokat is említ a bejegyzés.

A Mail-O közelebbi vizsgálatai alapján a malware egy relatív ismert másik kártevő variánsa lehet. A PhantomNet és SManager névvel illetett malware-t pedig a TA428 elnevezésű hekkercsoport használja előszeretettel, akiket pedig a korábbi akciók során rendre Kínához kötöttek. A közös kapcsot egyébként többek között egy elírás adja, ugyanis mindegyik malware-ben található egy Entery funkció, ami vélhetően az angol Entry szó elgépeléséből jött.

A kínai vonalat erősíti az is, hogy a TA428 a múltban többször hajtott végre akciókat dél-kelet-ázsiai célpontok mellett orosz rendszerek ellen is, így a tavalyi támadás beleillik a működési mintájukba. Ugyanakkor azt sem lehet kizárni, hogy a TA428-nak tulajdonított esetek mögött nem is egy konkrét csoport, hanem több külön egység áll, akik egymást között megosztják az erőforrásaikat és eszköztárukat.