A még 2022 januárjában, közvetlenül a háború kirobbanása előtt végrehajtott akcióval számos vállalkozás védelmi rendszerét áttörték, sőt, van, ahol teljesen elfoglalták az informatikai infrastruktúrát és átvették az irányítást a biztonsági protokoll hálózata felett.

A cél valószínűleg számítógépes kémkedés volt, és a TA428 kínai csoportnak tulajdonítják, amely korábban kelet-európai és ázsiai szervezetek ellen hajtott végre hasonló támadásokat.

Az egész adathalászat e-mailekkel kezdődött: a támadók kihasználták a Microsoft Office korábbi verzióin tátongó biztonsági rést, ami CVE-2017-11882 néven ismert (először 2017-ben észlelték), és tetszőleges kód futtatását teszi lehetővé további felhasználói beavatkozás nélkül.

Az okozott károk nagyságáról nincs információ, csak annyi biztos, hogy több, katonai szektorban dolgozó ipari vállalat volt a célpont. 

A TA428 csoport többlépcsős támadása kártékony, adathalász e-mailekkel indult, majd ezek elterjesztették az adatlopó és kémkedő trójai vírust. Az e-mailek orosz szövegei tökéletesek voltak, nem adtak okot gyanúra, és konkrét, bizalmas adatokat (neveket és szervezeti információkat) tartalmaztak, amelyek kívülállók számára általában nem hozzáférhetők. Az első támadási hullámban a különböző országokban elhelyezett szerverek információit töltötték fel egy másodlagos, Kínában található szerverre. Valószínűleg ezeket a részleteket vagy akár a teljes e-mail-mintákat a csoport korábban lophatta el más, a most megtámadott vállalatokkal kapcsolatban álló cégektől.

A beszámoló szerint az attak több hónapon keresztül tarthatott, így egyelőre biztos információk sincsenek az ellopott adatok mennyiségéről.

Mihail Zaicev, orosz biztonsági szakértő szerint olyan nagyszabású volt az akció, hogy 

a hekkerek valami nagyon fontosat kereshettek a kínai vezetés számára, és a támadások valószínűleg sikerrel jártak.

Az érintett cégek nevét nem hozták nyilvánosságra.

(Borítókép: Getty Images)