Ruský státem sponzorovaný hackerský kolektiv známý jako APT29 byl obviněn z nové phishingové kampaně, která využívá legitimní cloudové služby, jako je Google Drive a Dropbox, k distribuci škodlivých zátěží do napadených systémů.
"Tyto kampaně se pravděpodobně zaměřily na několik západních diplomatických misí v období od května do června 2022," uvedla ve zprávě jednotka 42 společnosti Palo Alto Networks. "Návnady obsažené v těchto kampaních naznačují cílení na zahraniční velvyslanectví v Portugalsku a také na zahraniční velvyslanectví v Brazílii." APT29, sledovaná také pod přezdívkami Cozy Bear, Cloaked Ursa nebo The Dukes, byla charakterizována jako organizovaná skupina pracující na shromažďování zpravodajských informací, které jsou v souladu se strategickými cíli Ruska. Co se při těchto útocích změnilo je to, že hackeři využívají cloudové služby, jako jsou Dropbox a Google Drive. Druhá verze útoku zaznamenaná koncem května 2022 se údajně dále přizpůsobila a hostuje dropper – program určený k extrakci jiných souborů z vlastního kódu – HTML v Dropboxu. Analýza útoků ukázala, jak se hackeři snaží snížit míru odhalení. V těchto případech dokonce i útočníci využívali legitimní služby, jako jsou Trello a Dropbox. To však naznačuje snahu protivníka působit dlouhou dobu v prostředí obětí a zůstat přitom neodhalen. "Využití služeb DropBox a Google Drive je pro tohoto aktéra novou taktikou, jejíž odhalení se ukazuje jako velmi náročné vzhledem k tomu, že tyto služby jsou využívány ve velké míře a také skutečnosti, že jim důvěřují miliony uživatelů po celém světě," uvedli výzkumníci. Zjištění se rovněž shoduje s novým prohlášením Rady Evropské unie, které upozorňuje na nárůst škodlivých kybernetických aktivit páchaných ruskými aktéry.
"Tento nárůst škodlivých kybernetických aktivit v souvislosti s válkou proti Ukrajině vytváří nepřijatelné riziko vedlejších účinků, nesprávné interpretace a možné eskalace," uvedla Rada v tiskovém prohlášení.