Armia i Służby
Atak na sprzęt ukraińskich wojskowych
Autor. Генеральний штаб ЗСУ (@GeneralStaffUA)/X
Urządzenia ukraińskich wojskowych padły celem wrogich ataków. Operacja zaczęła się tuż przed drugą rocznicą inwazji Rosji. Przedstawiciele sił zbrojnych dostali wiadomości na Signale.
Ukraiński zespół reagowania na incydenty komputerowe CERT-UA oraz wojskowi specjaliści jednostki A0334 zbadali wrogie cyberataki wymierzone w urządzenia przedstawicieli sił zbrojnych. Miało to miejsce 22 lutego br., a więc tuż przed drugą rocznicą inwazji Rosji.
Signal. Wiadomość z plikiem
W ramach kampanii niezidentyfikowana osoba rozesłała do kilku ukraińskich wojskowych plik „1\_ф\_5.39-2024.xlsm” dotyczący rzekomych problemów z meldunkami. Wykorzystała do tego komunikator Signal.
Czytaj też
Ataki z użyciem backdoora
W praktyce plik uruchamiał na urządzeniu ofiary procesy prowadzące do instalacji złośliwego oprogramowania COOKBOX. Jak ustalił CERT-UA, cyberataki z użyciem tego backdoora trwają co najmniej od jesieni 2023 r. i mają charakter punktowy. Aktywność jest śledzona pod identyfikatorem UAC-0149.
Bezpieczeństwo urządzeń
W analizie czytamy, że wrogie działania mogą być skuteczne w przypadku sprzętu, który nie został objęty polityką bezpieczeństwa przez administratorów. Dobre praktyki oraz wdrożenie odpowiednich mechanizmów (m.in. EDR) w jednym przypadku pozwoliły zapobiec poważnym konsekwencjom.
Czytaj też
Inwazja Rosji. Wojenna rzeczywistość Ukrainy
Obecnie nie wiadomo kto stoi za atakiem. CERT-UA nie wskazuje na żaden konkretny podmiot ani kraj. Pewne jest natomiast to, że nasi sąsiedzi muszą stawiać czoła poważnemu wyzwaniu, jakie wiąże się z falą wrogich cyberoperacji.
Wojna na Ukrainie toczy się również w sieci. Każdego dnia prowadzone są działania o różnym charakterze, które mają albo osłabić Ukrainę (np. zakłócić lub nawet uszkodzić określoną infrastrukturę) albo pomóc Rosji (m.in. poprzez kradzież cennych informacji) lub jedno i drugie. O jakiej skali mówimy?
Wojna na Ukrainie. Ostatnie tygodnie
Jak informowaliśmy, w ubiegłym tygodniu CERT-UA udostępnił raport dotyczący tylko ostatnich tygodni. Zwrócono w nim uwagę nie tylko na grupy hakerskie powiązane ze służbami specjalnymi Putina, jak np. Fancy Bear czy Turla.
Według przedstawionych danych, najaktywniejsza w okresie styczeń-luty 2024 r. była prokremlowska grupa, którą ukraiński CERT śledzi pod sygnaturą UAC-0050.
„Na dzień 22 lutego br. odnotowano i zbadano minimum 15 kampanii, w czasie których atakujący użyli co najmniej 5 rodzajów złośliwego oprogramowania: REMCOS RAT, QUASAR RAT, VENOM RAT, REMOTE UTILITIES i LUMMASTEALER” – wskazano w raporcie.
Czytaj też
Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na:[email protected].
