Atak na sprzęt ukraińskich wojskowych

Ukraiński zespół reagowania na incydenty komputerowe CERT-UA oraz wojskowi specjaliści jednostki A0334 zbadali wrogie cyberataki wymierzone w urządzenia przedstawicieli sił zbrojnych. Miało to miejsce 22 lutego br., a więc tuż przed drugą rocznicą inwazji Rosji.

Signal. Wiadomość z plikiem

W ramach kampanii niezidentyfikowana osoba rozesłała do kilku ukraińskich wojskowych plik „1\_ф\_5.39-2024.xlsm” dotyczący rzekomych problemów z meldunkami. Wykorzystała do tego komunikator Signal.

Ataki z użyciem backdoora

W praktyce plik uruchamiał na urządzeniu ofiary procesy prowadzące do instalacji złośliwego oprogramowania COOKBOX. Jak ustalił CERT-UA, cyberataki z użyciem tego backdoora trwają co najmniej od jesieni 2023 r. i mają charakter punktowy. Aktywność jest śledzona pod identyfikatorem UAC-0149. 

Bezpieczeństwo urządzeń

W analizie czytamy, że wrogie działania mogą być skuteczne w przypadku sprzętu, który nie został objęty polityką bezpieczeństwa przez administratorów. Dobre praktyki oraz wdrożenie odpowiednich mechanizmów (m.in. EDR) w jednym przypadku pozwoliły zapobiec poważnym konsekwencjom.

Inwazja Rosji. Wojenna rzeczywistość Ukrainy

Obecnie nie wiadomo kto stoi za atakiem. CERT-UA nie wskazuje na żaden konkretny podmiot ani kraj. Pewne jest natomiast to, że nasi sąsiedzi muszą stawiać czoła poważnemu wyzwaniu, jakie wiąże się z falą wrogich cyberoperacji.

Wojna na Ukrainie toczy się również w sieci. Każdego dnia prowadzone są działania o różnym charakterze, które mają albo osłabić Ukrainę (np. zakłócić lub nawet uszkodzić określoną infrastrukturę) albo pomóc Rosji (m.in. poprzez kradzież cennych informacji) lub jedno i drugie. O jakiej skali mówimy?

Wojna na Ukrainie. Ostatnie tygodnie

Jak informowaliśmy, w ubiegłym tygodniu CERT-UA udostępnił raport dotyczący tylko ostatnich tygodni. Zwrócono w nim uwagę nie tylko na grupy hakerskie powiązane ze służbami specjalnymi Putina, jak np. Fancy Bear czy Turla.

Według przedstawionych danych, najaktywniejsza w okresie styczeń-luty 2024 r. była prokremlowska grupa, którą ukraiński CERT śledzi pod sygnaturą UAC-0050.

„Na dzień 22 lutego br. odnotowano i zbadano minimum 15 kampanii, w czasie których atakujący użyli co najmniej 5 rodzajów złośliwego oprogramowania: REMCOS RAT, QUASAR RAT, VENOM RAT, REMOTE UTILITIES i LUMMASTEALER” – wskazano w raporcie.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na:[email protected].