Reklama

Armia i Służby

Rosja szpieguje NATO i UE. Polskie służby ujawniają operację wywiadu

Putin
Autor. Presidential Executive Office of Russia/Wikimedia Commons/CC4.0

Służba Kontrwywiadu Wojskowego (SKW), wraz ze specjalistami zespołu CERT Polska, wykryła „szeroko zakrojoną kampanię szpiegowską wiązaną z rosyjskimi służbami specjalnymi”. Celem wrogich działań są MSZ i placówki dyplomatyczne w państwach NATO, UE oraz Afryce. Sprawcom zależy na pozyskaniu informacji. Cyberataki wciąż trwają. 

Reklama

„Infrastruktura, wykorzystane techniki oraz narzędzia, częściowo lub całkowicie, pokrywa się z opisywanymi w przeszłości zbiorami aktywności określanymi przez Microsoft jako >>NOBELIUM<< oraz przez Mandiant jako >>APT29<<” – wskazuje SKW i CERT Polska

Reklama

Chodzi o grupę hakerską znaną jako  Cozy Bear , powiązaną ze Służbą Wywiadu Zagranicznego Rosji (SVR). To ona ma stać za kampaniami takimi jak np. SolarWinds, Sunbrust, Envyscout oraz Boombox. 

Polscy specjaliści ujawnili „nieopisywane wcześniej publicznie oprogramowania" wykorzystywane w trakcie wrogich działań. „Nowe narzędzia były używane równolegle i niezależnie od siebie lub zastępując te, których skuteczność spadła pozwalając aktorowi na utrzymanie ciągłości działań” – czytamy w udostępnionej analizie. 

Reklama

Ujawnienie narzędzi rosyjskich służb pozwala na ich identyfikację. Z założenia ma to pomóc w zakłóceniu trwającej kampanii

Czytaj też

Jak działają rosyjskie służby?

Kampania polega na rozsyłaniu wiadomości spear-phishingowych do personelu placówek dyplomatycznych. Sprawcy podszywają się pod ambasady państw europejskich, wysyłając zaproszenie na rzekome spotkanie lub do współpracy nad dokumentami. W treści lub w załączonym pliku PDF znajduje się odsyłacz do kalendarza, informacji na temat spotkania lub plik do pobrania. Przykład takiej wiadomości znajduje się poniżej. 

SKW CERT Polska szpiegostwo Rosji
Przykład wiadomości spear phishingowej, podszywającej się pod polską ambasadę.
Autor. SKW, CERT Polska/gov.pl

Czytaj też

Ujawnione narzędzia Rosjan

„Odnośnik kierował do przejętej strony, na której umieszczony był charakterystyczny dla tego aktora skrypt, publicznie opisywany jako Envyscout” – podaje SKW i CERT Polska. Specjaliści wskazują, że Cozy Bear używa w trakcie kampanii trzech różnych narzędzi, które wdrażane są na poszczególnych etapach działań. 

Pierwszym jest SNOWYAMBER przeznaczony do komunikacji i pobierania kolejnych złośliwych plików (wykryto dwie wersje tego narzędzia). Z kolei HALFRIG odznacza się „osadzonym na stałe kodem uruchamiającym narzędzie COBALT STRIKE (to framework przeznaczony do zaawansowanych testów penetracyjnych – red.)”. Ostatnim jest QUARTERRIG, które współdzieli część kodu z HALFRIG.

SKW CERT Polska szpiegostwo Rosji
Oś czasu pokazująca wykryte działania hakerów SVR (APT29, Cozy Bear).
Autor. SKW, CERT Polska/gov.pl

„Narzędzia SNOWYAMBER oraz QUARTERRIG były używane jako tzw. downloader'y. Oba narzędzia przesyłały do aktora adres IP oraz nazwę komputera i użytkownika, które służyły do oceny czy ofiara jest interesująca oraz prawdopodobnie, czy nie jest to środowisko do analizy złośliwego oprogramowania. Jeżeli zainfekowana stacja robocza przeszła pomyślnie ręczną weryfikację, wykorzystywano wspomniane downloader'y celem dostarczenia i uruchomienia komercyjnych narzędzi COBALT STRIKE lub BRUTE RATEL. Z kolei HALFRIG działa na zasadzie tzw. loadera – zawiera w sobie i uruchamia automatycznie narzędzie COBALT STRIKE” – tłumaczą SKW i CERT Polska.

Czytaj też

Ataki rosyjskich służb. Co należy zrobić?

Specjaliści radzą, aby podmioty mogące być celem kampanii rosyjskich służb (np. podmioty rządowe, dyplomatyczne, MSZ, ambasady i ich personel; organizacje międzynarodowe i pozarządowe) wdrożyły mechanizmy na rzecz podniesienia bezpieczeństwa infrastruktury IT oraz zdolności wykrywania wrogich działań. W szczególności rekomendowane jest:

  • Zablokowanie możliwości montowania w systemie plików, obrazów, dysków. Większość użytkowników wykonujących prace biurowe nie posiada potrzeby pobierania i używania plików ISO lub IMG.
  • Monitorowanie montowania plików, obrazów, dysków przez użytkowników pełniących role administratorów.
  • Włączenie i konfiguracja reguł Attack Surface Reduction Rules.
  • Konfiguracja reguł Software Restrition Policy i zablokowanie możliwości uruchamiania plików wykonywalnych z nietypowych lokalizacji (w szczególności: katalogi tymczasowe, %localappdata% i katalogi podrzędne, nośniki zewnętrzne).

Czytaj też

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].

Reklama

Haertle: Każdego da się zhakować

Materiał sponsorowany

Komentarze (2)

  1. Esteban

    To , że bolszewia szpieguje wszystkich dookoła, to oczywiste i nie powinno być problemem, trzeba po prostu się pilnować. Tuska należy postawić pytanie, czy my szpiegujemy bolszewie?

  2. Tomasz

    W rekomendacjach zabrakło mi chyba najważniejszego: weryfikacja takiego e-maila telefoniczna lub skierowanie zapytania do odpowiednich jednostek.

Reklama