Rosja szpieguje NATO i UE. Polskie służby ujawniają operację wywiadu

„Infrastruktura, wykorzystane techniki oraz narzędzia, częściowo lub całkowicie, pokrywa się z opisywanymi w przeszłości zbiorami aktywności określanymi przez Microsoft jako >>NOBELIUM<< oraz przez Mandiant jako >>APT29<<” – wskazuje SKW i CERT Polska. 

Chodzi o grupę hakerską znaną jako  Cozy Bear , powiązaną ze Służbą Wywiadu Zagranicznego Rosji (SVR). To ona ma stać za kampaniami takimi jak np. SolarWinds, Sunbrust, Envyscout oraz Boombox. 

Polscy specjaliści ujawnili „nieopisywane wcześniej publicznie oprogramowania" wykorzystywane w trakcie wrogich działań. „Nowe narzędzia były używane równolegle i niezależnie od siebie lub zastępując te, których skuteczność spadła pozwalając aktorowi na utrzymanie ciągłości działań” – czytamy w udostępnionej analizie. 

Ujawnienie narzędzi rosyjskich służb pozwala na ich identyfikację. Z założenia ma to pomóc w zakłóceniu trwającej kampanii. 

Jak działają rosyjskie służby?

Kampania polega na rozsyłaniu wiadomości spear-phishingowych do personelu placówek dyplomatycznych. Sprawcy podszywają się pod ambasady państw europejskich, wysyłając zaproszenie na rzekome spotkanie lub do współpracy nad dokumentami. W treści lub w załączonym pliku PDF znajduje się odsyłacz do kalendarza, informacji na temat spotkania lub plik do pobrania. Przykład takiej wiadomości znajduje się poniżej. 

Ujawnione narzędzia Rosjan

„Odnośnik kierował do przejętej strony, na której umieszczony był charakterystyczny dla tego aktora skrypt, publicznie opisywany jako Envyscout” – podaje SKW i CERT Polska. Specjaliści wskazują, że Cozy Bear używa w trakcie kampanii trzech różnych narzędzi, które wdrażane są na poszczególnych etapach działań. 

Pierwszym jest SNOWYAMBER przeznaczony do komunikacji i pobierania kolejnych złośliwych plików (wykryto dwie wersje tego narzędzia). Z kolei HALFRIG odznacza się „osadzonym na stałe kodem uruchamiającym narzędzie COBALT STRIKE (to framework przeznaczony do zaawansowanych testów penetracyjnych – red.)”. Ostatnim jest QUARTERRIG, które współdzieli część kodu z HALFRIG.

„Narzędzia SNOWYAMBER oraz QUARTERRIG były używane jako tzw. downloader'y. Oba narzędzia przesyłały do aktora adres IP oraz nazwę komputera i użytkownika, które służyły do oceny czy ofiara jest interesująca oraz prawdopodobnie, czy nie jest to środowisko do analizy złośliwego oprogramowania. Jeżeli zainfekowana stacja robocza przeszła pomyślnie ręczną weryfikację, wykorzystywano wspomniane downloader'y celem dostarczenia i uruchomienia komercyjnych narzędzi COBALT STRIKE lub BRUTE RATEL. Z kolei HALFRIG działa na zasadzie tzw. loadera – zawiera w sobie i uruchamia automatycznie narzędzie COBALT STRIKE” – tłumaczą SKW i CERT Polska.

Ataki rosyjskich służb. Co należy zrobić?

Specjaliści radzą, aby podmioty mogące być celem kampanii rosyjskich służb (np. podmioty rządowe, dyplomatyczne, MSZ, ambasady i ich personel; organizacje międzynarodowe i pozarządowe) wdrożyły mechanizmy na rzecz podniesienia bezpieczeństwa infrastruktury IT oraz zdolności wykrywania wrogich działań. W szczególności rekomendowane jest:

• Zablokowanie możliwości montowania w systemie plików, obrazów, dysków. Większość użytkowników wykonujących prace biurowe nie posiada potrzeby pobierania i używania plików ISO lub IMG.
• Monitorowanie montowania plików, obrazów, dysków przez użytkowników pełniących role administratorów.
• Włączenie i konfiguracja reguł Attack Surface Reduction Rules.
• Konfiguracja reguł Software Restrition Policy i zablokowanie możliwości uruchamiania plików wykonywalnych z nietypowych lokalizacji (w szczególności: katalogi tymczasowe, %localappdata% i katalogi podrzędne, nośniki zewnętrzne).

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].