I en ny rapport hävdar F-Secure att det finns en tidigare okänd cyber attack-grupp som samlat in underrättelseinformation i Östeuropa och södra Kaukasus. Rapporten beskriver Callisto Group som en välmotiverad grupp med gott om resurser som har utfört attacker mot militärer, myndighetspersonal, journalister och tankesmedjor sedan 2015, kanske ännu tidigare.
Enligt rapporten är Callisto Group ansvariga för flera attacker under 2015 och 2016. Och även om rapporten inte namnger några av offren så påpekar den att samtliga har kopplingar till utrikespolitik och säkerhetsfrågor i Östeuropa och södra Kaukasus. Ett motiv kan vara underrättelseinsamling.
Teckna din prenumeration på Aktuell Säkerhet här
Rapporten beskriver hur gruppens infrastruktur har kopplingar till aktörer i Ryssland, Ukraina och Kina – men kopplingarna i sig är inte tillräckligt för att dra några slutsatser om vilka som ligger bakom gruppens aktiviteter. Rapporten lyfter också fram det faktum att det visserligen finns bevis som pekar på kopplingar till en nationalstat, men att det inte framkommit några närmare detaljer om relationen dem emellan.
– De beter sig som en nationalstat, men det finns också bevis som kopplar dem till infrastruktur som vanligtvis används av kriminella, säger Sean Sullivan, Security Advisor på F-Secure.
– De kan vara en grupp av frilansare som fått uppdrag av en regering, eller möjligtvis utför attackerna på eget bevåg med målsättningen att sälja informationen vidare till myndigheter eller underrättelsetjänster. Men det finns flera andra möjliga förklaringar, så vi kan inte säga med säkerhet baserat på nuvarande bevis.
Förutom att titta närmare på vilka mål och vilka eventuella motiv som Callisto Group arbetat med så beskriver rapporten vilka attacker de använder för att ta sig in hos sina offer. Bland annat handlar det om riktade nätfiskeattacker för att komma åt inloggningsinformation till e-postkonton, och i vissa fall infektera måltavlans enhet med skadlig kod. Mejlen skickas ofta från e-postkonton som tidigare fallit offer för gruppen.
Den skadliga koden som skickades med e-post hade i uppdrag att stjäla information från offren och se till att de infekterades med ytterligare skadlig kod. Enligt rapporten handlar det om en variant av verktyget Scout som utvecklas av italienska HackingTeam, som specialiserat sig på övervakningsverktyg. Verktyget ingick i ett spyware-paket som företaget sålde till myndigheter och läckte ut på internet år 2015.
Enligt Erka Koivunen, Chief Information Security Officer på F-Secure, så är det faktum att Callisto Group använder den här typen av verktyg som skapats för brottsbekämpande organisationer en tydlig – och viktig – påminnelse av farorna med avancerad övervakningsteknologi.
– Att den här typen av aktörer har börjat använda skadlig kod skapad för myndigheter borde inte överraska någon. Övervakningsverktyg av det här slaget är framtagna för att inkräkta i människors personliga sfär, för att beröva dem deras personliga integritet. I en välfungerande demokrati regleras detta av lagar och medborgarna kan förlita sig på att myndigheterna använder dem ansvarsfullt och att det finns reglementen och översyn som ser till att de följs, säger Erka Koivunen.
– Men dataintrång och läckor av den här typen av professionella övervakningsverktyg ger den här typen av möjligheter till en uppsjö av mindre nogräknade aktörer. Detta borde vara en påminnelse för våra myndigheter att de inte kan ha monopol på den här typen av teknologi och att legosoldater, fientligt inställda nationalstater och andra aktörer inte kommer att tveka över att använda dem emot oss.
Rapporten understryker att gruppen fortfarande är aktiv, och att det är okänt hur de kommer att reagera på det faktum att de blivit påkomna. Rapporten innehåller också typiska markörer som kan avslöja om man är drabbad och strategier som potentiella måltavlor kan använda sig av för att skydda sig mot Callisto Group och liknande aktörer. F-Secures produkter innehåller flera teknologier som skyddar användaren från Callisto Group.
