В последните седмици беше разкрита нова целенасочена кибератака, насочена към турски компании от отбранителния сектор. Според експерти от Arctic Wolf Labs зад атаката стои групата Patchwork – добре позната хакерска организация, за която се смята, че е свързана с индийски държавни структури.
Как е протекла атаката?
Хакерите са използвали т.нар. spear-phishing – форма на фишинг атака, при която жертвите се подбират внимателно и се атакуват чрез фалшиви имейли, които изглеждат напълно достоверни. В този случай имейлите съдържали прикрепени файлове с разширение .lnk (съкратен път в Windows), които се представяли като покани за международна конференция на тема безпилотни летателни апарати (дронове).
След като жертвата отвори файла, се стартира скрит процес, който изтегля зловреден код от фалшив уебсайт (expouav[.]org), създаден съвсем наскоро – на 25 юни 2025 г. Файлът изглежда като обикновен PDF с информация за конференция, но докато потребителят го разглежда, зловредният софтуер работи на заден фон.
Какво целят хакерите?
След успешно заразяване на компютъра, хакерите получават достъп до различни системни данни – правят снимки на екрана, събират информация за устройството и я изпращат обратно към контролирани от тях сървъри. Според доклада, това е част от по-голяма стратегия за събиране на чувствителна информация, свързана с турските технологии в сферата на безпилотните системи и хиперзвуковите ракети.
Не е случайно, че атаките съвпадат с все по-тясното военно сътрудничество между Турция и Пакистан, както и с напрежението между Индия и Пакистан. Това подсказва, че зад кампанията стоят геополитически мотиви, а не просто финансова изгода.
Кой е Patchwork?
Patchwork, известна още с имена като Dropping Elephant, APT-C-09 и други, действа поне от 2009 г. насам. Групата редовно атакува цели в Китай, Пакистан, Бутан и други страни от Южна Азия. През последните месеци е наблюдавана повишена активност, включително атаки срещу китайски университети и инфраструктурни проекти.
Според китайска компания за киберсигурност, Patchwork има вероятна връзка с друга хакерска група, известна като DoNot Team, което подсказва, че може да действат в координация или да споделят ресурси.
Какво да направим?
Подобни атаки показват колко важно е бизнесът, особено в сектори като отбраната, да поддържа високо ниво на киберсигурност. Това включва:
В заключение:
Атаките от групи като Patchwork показват колко сложни и целенасочени могат да бъдат съвременните киберзаплахи. Защитата срещу тях не е еднократен процес, а постоянна инвестиция в технологии, обучение и наблюдение.
Бъдете бдителни – най-сериозната заплаха често изглежда като невинна покана по имейл.
