Istraživači bezbjednosti iz Palo Alto Networks, odjeljenja Unit 42, otkrili su masovnu i sofisticiranu kampanju cyber špijunaže nazvanu “Shadow Campaigns”, koja je ciljala vladine institucije i kritičnu infrastrukturu širom svijeta, uključujući i Srbiju.
Napredna hakerska grupa, poznata kao TGR-STA-1030 ili UNC6619, za koju se vjeruje da djeluje iz Azije, od januara 2024. godine sprovela je operacije izviđanja i napada u čak 155 zemalja, od kojih je u 37 država potvrđeno uspješno kompromitovanje mreža. Fokus kampanje bio je prikupljanje strateških, ekonomskih i političkih obavještajnih podataka, a mete su bila ministarstva spoljnih poslova, odbrane i finansija, organi za sprovođenje zakona, energetski sektor i diplomatska predstavništva.
Istraživači navode da su hakeri kompromitovali vladine entitete u brojnim evropskim zemljama, uključujući Srbiju, Njemačku, Italiju, Poljsku, Grčku i Češku, dok su značajni napadi zabilježeni i u SAD, Brazilu, Tajvanu, Australiji i nekoliko afričkih država. Napadi su izvedeni kombinacijom ciljanog fišinga i eksploatacije poznatih ranjivosti u softverima, uključujući Microsoft Exchange Server, SAP Solution Manager i Windows.
Posebnu zabrinutost izaziva novi, prilagođeni Linux rootkit “ShadowGuard”, koji koristi eBPF tehnologiju za rad unutar kernela operativnog sistema. Ovaj softver uspješno skriva procese i datoteke od standardnih bezbjednosnih alata, što ga čini izuzetno teško otkrivljivim.
Analitičari napominju da su napadi često tempirani u skladu s važnim geopolitičkim događajima, poput skeniranja u Hondurasu neposredno prije nacionalnih izbora ili pojačane aktivnosti u SAD tokom privremene obustave rada vlade (government shutdown).
Stručnjaci savjetuju organizacijama da hitno primjene najnovije bezbjednosne zakrpe i pojačaju nadzor nad mrežnim saobraćajem kako bi se zaštitile od ove sofisticirane cyber prijetnje.
