Cyberprzestępcy nie śpią. Bacznie obserwują świat i zachodzące na nim zmiany, jak i śledzą najnowsze wydarzenia. Wszystko po to, by dostosować swoje metody i techniki ataku (tzw. TTP’s) do aktualnych trendów. Wiedzą bowiem, że mają wtedy większe szanse na sukces i powodzenie ich szkodliwych działań.
Takimi istotnymi wydarzenia są duże imprezy sportowe. Igrzyska Olimpijskie przykuwają szczególną uwagę cyberprzestępców, są bowiem zawodami globalnymi, budzącymi duże zainteresowanie. Zawsze przy ich okazji mamy do czynienia z różnorakimi falami phishingowymi, dezinformacją, czy zagrożeniami fizycznymi. Doskonały raport na temat przygotowało Recorded Future.
Zastanawiała mnie jednak cisza w wirtualnym świecie dotycząca piłkarskich mistrzostw Euro 2024. Nigdzie nie widziałem dogłębnej analizy zagrożeń związanych z tym wydarzeniem. Żadnych wzmianek o kampaniach phishingowych czy głębszych analiz. Moim zdaniem jest to również impreza o całkiem sporym zasięgu, budząca duże zainteresowanie nie tylko w Europie, ale też w wielu częściach świata. Postanowiłem sam więc nieco pogrzebać.
Pliki
Na dobry początek zajrzałem do VirusTotala. Wpisałem frazę „Euro2024” i posortowałem malejąco po detekcjach:
Uzyskałem kilka wyników, postanowiłem je więc przeanalizować. Część z tych detekcji jest opisana jako „UEFA Euro2024 Tickets Purchaser Bot.exe ”. Z tego co udało mi się wywnioskować, jest to część spektrum aplikacji/botów, które mają za zadanie zautomatyzować zakup biletów na różne wydarzenia – w tym wypadku na Euro.
Na samym szczycie mamy z kolei plik uefaAIO.exe. Wyszukując po hashu ikony otrzymujemy listę aplikacji związanych z wydarzeniami sportowymi, których wspólna część nazwy to „RestockATCModule”. Ikonka jak i screenshot z ZenBoxa wskazuje na aplikację o nazwie NYT. Niestety nie udało mi się jej dokładniej zidentyfikować ani dotrzeć do większej liczby szczegółów:
Wygląda na to, że nie jest powiązana z żadną kampanią malware’u/phishingu zorganizowaną przez którąś ze znanych grup. Prawdopodobnie jest to pewnego typu aplikacja, która służy do crackowania. Aczkolwiek nie udało mi się wyszukać w Google Images niczego sensownego po ikonie, ani przeszukać skutecznie VirusTotala po MD5, Imphashu, Vhashu czy SSDEEP. Wszystkie wynik dawały mniej więcej te same ograniczone informacje.
Pozostałe znaleziska w VirusTotalu były jeszcze mniej interesujące. Często bywał to malware czy strona, która nawiązywała połączenie z wieloma innymi domenami, w tym z oficjalnymi witrynami Euro2024.
Domeny
A co VirusTotal mówi o domenach? Tu wyniki przedstawiają się jak poniżej:
Jak widać kilka pierwszych wyszukań wiąże się z domeną go1[.]fere[.]work. Strona jest hostowana na holenderskim IP 208.74.150.136. Z tym IP powiązane jest kilka podobnych domen o wątpliwej reputacji: go1[.]mlbre[.]work, go1[.]lore[.]work czy go1[.]trakit5[.]com. Dalsza analiza wskazuje na ich użycie w kontekście phishingu. Nie wydaje się jednak, by była to infrastruktura postawiona konkretnie z myślą o atakach powiązanych z Euro2024.
Poza tym mamy kilka stron typu euro2024[.]restaurants czy euro2024[.]events. Ciekawostką jest, że jedną detekcję ma również strona euro2024-atos[.]net. W pierwszym momencie myślałem, że jest to typosquatting mający na celu podszyć się pod oficjalnego partnera Euro – Atosa. Ale okazuje się, że owa domena została faktycznie zarejestrowana przez tę francuską firmę.
Kampanie mailowe
Przejrzałem kilka zasobów internetowych pod kątem kampanii phishingowych. Nie natrafiłem na żadną dotyczącą Euro 2024. Żadnej domeny powiązanej z tym wydarzeniem. Nie ma w dostępnych zasobach jakichkolwiek wzmianek o szkodliwych mailach powiązanych tematem bądź adresem z mistrzostwami Europy.
DarkWeb
Postanowiłem przejrzeć też szeroko pojęty DarkWeb w kontekście Euro 2024. Nie znalazłem tu żadnych nawoływań do bojkotu. Pojawiła się jednak grafika wyprodukowana przez Państwo Islamskie (ISIS):
Widzimy na niej terrorystę z karabinem maszynowym wkraczającego na stadion. Czy ze strony ISIS możemy spodziewać się faktycznego zagrożenia, czy jest to jedynie próba zastraszenia świata zachodniego – trudno powiedzieć.
Poza tym w DarkWebie pojawiały się niewinne typowania użytkowników oraz standardowe w przypadku tego typu imprez zachęty do obstawiania wyników, brania udziału w loteriach, czy rejestrowaniu się na portalach oferujących pewne bonusy:
Wnioski
Z pewną dozą rozczarowania przyjąłem brak zainteresowania mistrzostwami Europy ze strony grup przestępczych. Najwyraźniej Euro 2024 nie jest na tyle popularną globalnie imprezą, by móc skupiać się na przeprowadzaniu kampanii phishingowych bądź dystrybuowaniu malware’u. Prawdopodobnie również wysiłki przestępców zostały ukierunkowane na zbliżające się Igrzyska Olimpijskie w Paryżu.
Nie należy jednak zapominać, że pewne zagrożenia z Euro mogą się pojawiać w trakcie samych mistrzostw. Być może zostaną zorganizowane pewne protesty czy marsze – wszak Euro2024 jest imprezą medialną i wszelakie jej zakłócenia odbiją się szerokim echem w prasie czy telewizji.
Nadal możemy się spodziewać cyberataków – czy to na infrastrukturę państwa gospodarza, czy samych mistrzów. Zagrożenie może dotknąć oficjalnych sponsorów, ale również usług wspierających, jak choćby systemów biletowych. Mogą pojawiać się one w formie phishingów, ransomware’u, czy innych ataków mających za zadanie uszkodzić systemy teleinformatyczne i zakłócić przebieg samych rozgrywek. Specjaliści od cyberbezpieczeństwa muszą więc mieć się na baczności.