Atak rosyjskiego GRU na amerykańską firmę

We wrześniu br. zespół Arctic Wolf Labs odkryła, że jedna z amerykańskich firm padała ofiarą cyberataku grupy powiązanej z rosyjskim GRU – jednostką 29155. Za operacją stoi aktor zagrożeń nazwany przez specjalistów „RomCom”. 

„Działa od co najmniej połowy 2022 r. (…) i stanowi zagrożenie dla organizacji działających głównie na Ukrainie oraz wspierające tamtejszy rząd i wojsko” – wskazuje Arctic Wolf Labs w raporcie.

Pierwszy taki przypadek

Analiza wykazała, że to pierwszy zaobserwowany przypadek dystrybucji payloadu RomCom za pośrednictwem SocGholish. Warto podkreślić, że mówimy o narzędziu wykorzystywanym zwykle przez cyberprzestępców, kierujących się motywami finansowymi. 

Atakujący dostarczają złośliwe oprogramowanie za pomocą m.in. rozpowszechniania fałszywych aktualizacji. Zależy im na uzyskaniu dostępu do infrastruktury zaatakowanego podmiotu, co pozwala z kolei np. na kradzież danych.

Cel nie był przypadkowy

Eksperci wskazują, że jednostka 29155 prowadzi ofensywne operacji w sieci, których celem są podmioty na całym świecie. Do jej zadań ma należeć m.in. zakłócanie działań i inicjatyw na rzecz niesienia wsparcia Ukrainie. 

Według Arctic Wolf Labs, zaatakowana firma współpracowała z amerykańskimi władzami lokalnymi, które to z kolei posiadają związki z naszym wschodnim sąsiadem. Specjaliści nie zdradzili jednak nazwy zaatakowanej organizacji ani podmiotu państwowego ze względu na ich ochronę. 

Amerykańskie media przypominają, że wiele miast posiada partnerskie relacje z Ukrainą. Wystarczy wspomnieć o np. Chicago czy Baltimore. 

Nasi wschodni sąsiedzi wskazują z kolei, że rosyjskie służby podszywają się pod grupy cyberprzestępcze, aby utrudnić atrybucję i spowolnić reakcję amerykańskich służb.