Cyberatak na rafinerię w kraju NATO. Operacja hakerów FSB

Od początku inwazji Rosji na Ukrainę firmy zajmujące się cyberbezpieczeństwem mówią o wzroście cyberataków wymierzonych w różne podmioty wielu branż. Wrogie działania ukierunkowane są na organizacje i instytucje zlokalizowane u naszego sąsiada oraz państw, które go wspierają w walce z okupantem. To sprawia, że ryzyko dotyczy również Polski.

„Narzędzie” wywiadu

Jedną z grup, która jest aktywna na cyfrowym polu bitwy jest grupa „Gamaredon” (znana też jako Armageddon, Primitive Bear i ACTINIUM). Przypomnijmy, że została zidentyfikowana przez Służbę Bezpieczeństwa Ukrainy (SBU) i przypisana rosyjskiej Federalnej Służbie Bezpieczeństwa (FSB).

Grupa działa od co najmniej dekady i od 2013 roku stoi za tysiącami ataków na ukraińskie organizacje. W czasie wojny stanowi „narzędzie” do uzyskiwania dostępu do określonych systemów i kradzieży danych wywiadowczych.

Nie tylko Ukraina, ale i NATO

Specjaliści zespołu „Unit 42” firmy Palo Alto przeanalizowali aktywność „Gamaredon” w ostatnich 10 miesiącach. Zidentyfikowali ponad 500 nowych domen powiązanych z hakerami, 200 próbek i innych wskaźników włamań. Jak wskazują w raporcie, to potwierdza, że grupa prowadziła kampanie phishingowe z wykorzystaniem złośliwego oprogramowania z myślą o realizacji różnych celów.

Od lutego br. hakerzy atakowali przede wszystkim ukraińskie podmioty, wykorzystując do tego celu przynęty w języku ukraińskim. „To wciąż najczęstszy scenariusz dla tej grupy, choć wykryliśmy kilka przypadków, gdzie używano wabików w języku angielskim” – czytamy w raporcie.

Zdaniem specjalistów, świadczy to o tym, że grupa stara się rozszerzyć swoją działalność i wykradać dane również przeciwko partnerom Ukrainy, w tym NATO.

Nieudana próba

Poza znanymi kampaniami (opisywaliśmy je na naszym portalu, np. cyberataki na ukraińskie agencje rządowe) interesująca wydaje się być próba zhakowania „dużej firmy zajmującej się rafinacją ropy naftowej w państwie NATO”.

Eksperci nie wymieniają konkretnego kraju. Wskazują jedynie, że operacja miała miejsce 30 sierpnia i zakończyła się niepowodzeniem.

Podstawą spear-phishing

W trakcie kampanii członkowie „Gamaredon” wykorzystywali DNS typu fast flug, aby w ten sposób podnieść odporność swoich operacji i utrudnić specjalistom cyberbezpieczeństwa analizę wykorzystywanej przez hakerów infrastruktury.

„W ciągu ostatnich kilku miesięcy Gamaredon polegał na kilku różnych taktykach, aby początkowo złamać zabezpieczenia urządzeń ofiar” – wskazano w raporcie Unit42 Palo Alto.

Jednak generalnie działania hakerów opierały się na spear-phishingu. Rozsyłali wiadomości do określonych osób, w których znajdował się albo plik Word, albo załącznik. Jego kliknięcie powodowało instalację złośliwego oprogramowania na urządzeniu. Dzięki temu zyskiwali dostęp do infrastruktury i możliwość kradzieży danych.

Odnotowują sukcesy

Specjaliści podkreślają w raporcie, że grupa „Gamaredon” w ramach swoich operacji nie stosuje „zbyt wyrafinowanych ani skomplikowanych technik”. W większości przypadków bazuje na publicznie dostępnych narzędziach i skryptach, a także phishingu.

Pomimo tego hakerzy zaliczają kolejne „sukcesy". Z tego względu pozostają „istotnym zagrożeniem dla Ukrainy” – oceniają eksperci Unit42 Palo Alto.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].