România, pe lista țărilor vizate de o grupare de spionaj și furt de date sensibile de la instituții publice și diplomatice

Ce este UAC-0063 și cum operează?

UAC-0063 este o grupare specializată în spionaj cibernetic și furt de date sensibile. Activă încă din 2022, UAC-0063 a început să vizeze ținte din Asia Centrală, iar acum și-a extins activitatea și în Europa. Printre aceste ținte se numără ambasade și instituții guvernamentale din Germania, Olanda, Marea Britanie, Georgia și România.

Atacatorii au dezvoltat o tehnică avansată de atac, bazată pe documente Word compromise. Aceste fișiere sunt distribuite prin e-mailuri de tip phishing și conțin macro-uri infectate care, odată activate, instalează amenințări informatice pe dispozitivele victimelor. În unele cazuri, atacatorii au reutilizat documente autentice furate anterior de la instituții diplomatice.

Cum are loc atacul?

1. Atacul începe cu un e-mail de phishing ce conține un link către un document Word compromis.

2. La deschiderea fișierului, utilizatorului i se cere să activeze macro-urile, o tehnică de inginerie socială care sugerează că acest pas este necesar pentru a vizualiza conținutul. Odată activate, macro-urile declanșează instalarea amenințării informatice.

3. Odată infectat, dispozitivul începe să transmită date către serverele atacatorilor și poate fi folosit pentru noi atacuri asupra altor ținte.

Atacurile UAC-0063 au fost confirmate și în România, unde au fost identificate tentative de infectare folosind variante mai sofisticate ale malware-ului. Pe 4 aprilie 2024, o versiune compilată a acestuia, protejată prin tehnici avansate de camuflare a codului, a fost detectată pe un sistem din România.

CERT-UA (Echipa de Răspuns la Incidente de Securitate Cibernetică din Ucraina) atribuie UAC-0063 grupării ruse APT28 (BlueDelta), însă fără dovezi tehnice clare. Deși atacatorii folosesc tactici similare cu cele ale APT28, nu există încă o confirmare definitivă. Totuși, faptul că atacurile vizează entități diplomatice și guvernamentale din regiuni de interes pentru Rusia ridică semne de întrebare cu privire la posibila motivație geopolitică a acestor operațiuni.

Măsuri de protecție recomandate

Pentru a combate eficient amenințările cibernetice, fie ele trecute, prezente sau viitoare, este esențială o strategie de securitate bazată pe mai multe niveluri de protecție.

Prevenție

Primul pas în reducerea riscului de atac este minimizarea suprafeței de expunere. Gestionarea proactivă a riscurilor, prin evaluări de vulnerabilitate și scenarii de amenințare, ajută la identificarea și eliminarea punctelor slabe înainte ca acestea să fie exploatate de atacatori precum UAC-0063.

Protecție

Implementarea mai multor straturi de securitate pentru dispozitive și utilizatori îngreunează semnificativ accesul atacatorilor. Este important să existe un echilibru între blocarea activităților periculoase și semnalarea comportamentului suspect, pentru evitarea alertelor false care pot afecta eficiența sistemelor.

Detectare și răspuns rapid

Majoritatea atacurilor moderne se desfășoară pe parcursul mai multor zile sau chiar săptămâni, timp în care atacatorii își extind accesul la noi sisteme și date. Cercetările arată că atacatorii lasă în mod frecvent semnale care pot fi detectate, însă două probleme majore împiedică un răspuns eficient:

- Lipsa unor soluții avansate de monitorizare, cum ar fi EDR (Endpoint Detection and Response) sau XDR (Extended Detection and Response), care pot identifica și corela comportamente suspecte, chiar dacă acestea nu sunt imediat recunoscute.

- Capacitatea limitată de analiză și reacție – Chiar dacă soluțiile de securitate detectează anomalii, echipele de securitate trebuie să le investigheze și să acționeze rapid. Lipsa personalului specializat sau a resurselor poate duce la întârzieri în răspuns și permite atacatorilor să își continue operațiunile.

Indicatori de compromitere (IOCs)

Soluțiile potrivite de threat intelligence oferă informații esențiale despre atacuri cibernetice. Bitdefender IntelliZone este o platformă intuitivă care centralizează aceste informații și actorii implicați, și oferă analiștilor de securitate acces la servicii avansate de analiză malware. Informații suplimentare sunt structurate în platformă sub Threat ID BDb3u1e5tx.