Tietoverkkojen DarkGate-kyberhyökkäyksillä on yhteys vietnamilaisiin kyberrikollisiin, kertovat suomalainen WithSecuren tutkijat. Yhtiö tunnettiin aiemmin F-Securen yritystietoturvayksikkönä. Yrityksen analysoima DarkGate on etäyhteydellä toimiva trojalainen, joka on käytetty jo vuodesta 2018 alkaen.

WithSecuren tutkijat yhdistivät Isossa-Britanniassa, Yhdysvalloissa ja Intiassa äskettäin tehdyt DarkGate-hyökkäykset uhkatoimijoihin, joiden tiedetään varastavan tietoja Meta Business -tilien kaappaamiseksi.

Yhtiön tutkijat ovat seuranneet DarkGate-haittaohjelmaa hyödyntäviä hyökkäyksiä ja havainneet niiden olevan yhteydessä Vietnamista käsin operoivaan aktiiviseen kyberrikollisjoukkoon.

Nykyisin DarkGate-troijalaisen voivat kyberrikolliset hankkia jopa palveluna (Malware-as-a-Service, MaaS) -mallin kautta. Sitä on havaittu käytettävän esimerkiksi tietojen ja kryptovaluutan varastamiseen sekä kiristysohjelmakampanjoissa.

Ongelmana on kuitenkin uhkatoimijoiden ostettavissa olevien kyberrikospalveluiden yleistyminen, joka on johtanut tilanteeseen, jossa hyökkäyksiltä puolustautuvat tahot eivät pysty enää tunnistamaan hyökkääjiä heidän käyttämiensä työkalujen perusteella.

”DarkGate on ollut saatavilla jo pitkään, ja tämän Vietnamissa toimivan ryhmän lisäksi monet muutkin ryhmät käyttävät sitä erilaisiin tarkoituksiin’’, sanoo WithSecuren tutkija Stephen Robinson.

WithSecuren tutkijat pystyivät erilaisten houkutintiedostojen, teemojen, hyökkäysten kohteiden, haittaohjelman levittämistapojen ja muiden ei-teknisten indikaattoreiden perusteella yhdistämään havaitut hyökkäysyritykset samoihin uhkatoimijoihin, jotka käyttävät Ducktail-nimistä infostealer-haittaohjelmaa.

Lisää: WithSecuren selvitys (LINKKI).

 Kuvituskuva: WithSecure