Armia i Służby
Hakerzy GRU od lat penetrują rządowe i wojskowe sieci w Europie oraz USA
Hakerzy powiązani z rosyjskim wywiadem wojskowym GRU od co najmniej 2019 roku prowadzą szeroko zakrojone kampanie, których celem są m.in. podmioty wojskowe i rządowe w USA oraz Europie. Podczas operacji używają techniki łamania haseł oraz wykorzystują luki w zabezpieczeniach do uzyskania pełnego dostępu do sieci ofiar.
Agencja Bezpieczeństwa Narodowego (NSA), Agencja Cyberbezpieczeństwa i Infrastruktury (CISA), Federalne Biuro Śledcze (FBI) ze Stanów Zjednoczonych oraz brytyjskie Narodowe Centrum Cyberbezpieczeństwa (NCSC) opublikowały specjalne ostrzeżenie, w którym ujawniono działania rosyjskiego wywiadu wojskowego GRU. Mowa tu o operacjach prowadzonych od co najmniej połowy 2019 roku do chwili obecnej, które mają charakter globalny.
Schemat działania
W alercie wskazano, że grupa Fancy Bear (APT28), powiązana z GRU, jest odpowiedzialna za szeroko zakrojone kampanie, mające na celu uzyskanie dostępu do sieci ofiar. Aby zrealizować zadania, hakerzy wykorzystują przede wszystkim usługę Microsoft Office365. Za jej pomocą starają się pozyskać chronione dane, w tym wiadomości e-mail, i przejąć loginy oraz hasła do kont. Ich główną techniką działania jest „brute force”, polegająca na łamaniu haseł poprzez sprawdzenie wszystkich możliwych kombinacji.
Podczas operacji członkowie grupy posługują się przejętymi danymi uwierzytelniającymi w połączeniu z wykorzystaniem luk w zabezpieczeniach (np. występujących w Microsoft Exchange) do uzyskania zdalnego dostępu do sieci docelowych. Dodatkowo Fancy Bear używa wirtualnych sieci prywatnych (VPN) w celu ukrycia prowadzonych operacji i zwiększenia stopnia anonimowości.
Głównie USA i Europa
Wrogie działania hakerów powiązanych z GRU są wymierzone w podmioty z całego świata. Jednak najczęściej atakowane były (i nadal są) cele w Europie i Stanach Zjednoczonych (np. Pentagon). W alercie nie podano konkretnych nazw poszkodowanych. Wskazano jedynie na sektory, z których pochodzą. Wśród nich wymieniono: organizacje rządowe i wojsko, dostawców z branży obronnej, partie polityczne, think-tanki, instytucje edukacyjne, firmy logistyczne, przedsiębiorstwa energetyczne, media oraz kancelarie prawne.
W ostrzeżeniu podkreślono, że osoby odpowiedzialne za sieci w publicznych i/lub prywatnych podmiotach powinny stosować uwierzytelnianie wieloskładnikowe, aby w ten sposób zmniejszyć ryzyko włamania do systemów. Obowiązkowe jest także używanie silnych haseł. To podstawy cyberbezpieczeństwa, jakie każdy z użytkowników może zastosować u siebie.
O tym, że hakerzy GRU „nie śpią” pokazuje chociażby cyberatak na infrastrukturę oraz systemy bankowe Niemiec, który szerzej opisywaliśmy na naszym portalu.
Sprawę ujawniła niemiecka gazeta Bild, powołując się na swoje źródła w zachodnich strukturach wywiadowczych. Zdaniem dziennika wrogie działania zostały potwierdzone w środę, tj. 30 czerwca br. Prawdopodobnie kampania hakerska stanowi zemstę za międzynarodowe sankcje nałożone na Rosję i Białoruś. Jednak zdaniem agencji Bloomberga cyberatak może mieć również związek ze zbliżającymi się wyborami w Niemczech oraz próbą przeprowadzenia kampanii dezinformacyjnej.