Ataki na Ukrainę i NATO. Ofensywa rosyjskiego GRU

Specjaliści Microsoftu śledzą falę cyberataków grupy Cadet Blizzard, która jest powiązana z rosyjskim wywiadem wojskowym GRU. Eksperci w specjalnym raporcie podkreślają, że to jej członkowie w lutym br. rozpoczęli kampanię wymierzoną w agencje rządowe i dostawców IT w Ukrainie. Przypisali również Cadet Blizzard ataki WhisperGate ukierunkowane w naszego sąsiada, które miały miejsce tuż przed inwazją (styczeń 2022 r.). 

Microsoft wyjaśnia, że grupa powiązana z GRU działa najpewniej od 2020 r. i zwykle narusza bezpieczeństwo swoich celów za pomocą skradzionych danych uwierzytelniających. Dzięki temu uzyskuje dostęp do np. serwerów organizacji. Będąc już w środku sieci, hakerzy starają utrzymać stały dostęp i zwykle używają legalnych rozwiązań (a nie złośliwego oprogramowania), aby przemieszczać się w ramach infrastruktury IT ofiary. Ta penetracja pozwala im pozyskiwać coraz większe zbiory danych i/lub skuteczniej zakłócać sieć. 

Grupa Cadet Blizzard jest aktywna siedem dni w tygodniu a działania prowadzi poza godzinami pracy swoich głównych celów. Wszystko po to, aby zminimalizować ryzyko wykrycia operacji – wynika z raportu Microsoftu. 

Ryzyko dla Polski

Poza Ukrainą hakerzy powiązani z GRU prowadzą operacje wymierzone w państwa członkowskie NATO, które są zaangażowane w udzielanie pomocy wojskowej Ukrainie. W związku z tym ryzyko dotyczy także Polski. Wynika to z faktu, że nasz kraj jest jednym z liderów we wspieraniu Kijowa, zarówno jeśli chodzi o dostawy sprzętu, jak i zaangażowanie społeczeństwa (np. pomoc uchodźcom). Ponadto, to tędy przechodzą transporty na Ukrainę.

O zwiększonej liczbie cyberataków z m.in. tego właśnie powodu mówił przed naszymi kamerami płk Łukasz Jędrzejczak, Zastępca Dowódcy Komponentu Wojsk Obrony Cyberprzestrzeni i szef CSIRT MON. Jak podał, w ubiegłym roku jego zespół odnotował 5-krotny wzrost prób wrogich działań wymierzonych w infrastrukturę wojskową. Co robi Wojsko Polskie? O tym w materiale: „Polska celem hakerów Putina? | RAPORT SPECJALNY”.

Microsoft zwraca uwagę na stosunkowo niski wskaźnik skuteczności ataków Cadet Blizzard w porównaniu z innymi grupami powiązanymi z GRU, jak np. Seashell Blizzard (Iridium) i Forrest Blizzard (Strontium). Pomimo tego, omawiany podmiot stanowi zagrożenie ze względu na swoją aktywność: wzrost w okresie styczeń-czerwiec 2022 r. oraz od stycznia 2023 r.

Operacje wpływu

Co warto odnotować, Cadet Blizzard realizuje również działania w ramach kampanii wpływu. Na początku ubiegłego roku hakerzy z powodzeniem zakłócili szereg ukraińskich witryn internetowych – wynika z raportu Microsoft. 

Grupa jest też obecna na Telegramie, lecz nie generuje tam znaczących zasięgów. Do lutego br. liczba obserwujących wyniosła jedynie 1,3 tys. kont, a same posty nie powodowały interakcji z użytkownikami. Jakiego typu treści tam się pojawiają? Udostępniane są informacje pozyskane rzekomo w wyniku cyberataków.  

Pomoc Ukrainie i partnerom

Amerykański koncern deklaruje, że ściśle współpracuje z zespołem reagowania na incydenty komputerowe Ukrainy (CERT-UA) i wspiera ten kraj oraz państwa sąsiednie w ochronie przed wrogimi cyberatakami, w tym operacjami grupy Cadet Blizzard. 

„Microsoft bezpośrednio i proaktywnie powiadamia klientów, którzy zostali zaatakowani lub których bezpieczeństwo zostało naruszone, dostarczając im informacji potrzebnych do prowadzenia dochodzeń” – podkreśla firma. Jak dodaje, współpraca obejmuje również „globalną społeczność bezpieczeństwa i strategicznych partnerów”.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na:[email protected].