Rosyjscy hakerzy-szpiedzy w akcji. Jak działają?

Państwowa Służba Łączności Specjalnej i Ochrony Informacji Ukrainy (SSSCIP) opublikowała raport „Rosyjskie operacje cybernetyczne”, w którym przeanalizowano incydenty z pierwszej połowy 2024 roku.

„Główne narzędzia cyberwywiadu to phishing i infekcje złośliwym oprogramowaniem, gdzie najsłabszym ogniwem jest zachowanie człowieka” - czytamy w dokumencie.

Wzrost liczby incydentów

Dane zostały zebrane przez CERT-UA, Centrum Operacji Bezpieczeństwa (SOC) oraz Państwowe Centrum Ochrony Cybernetycznej (SCPC). Wynika z nich, że w br. rosyjscy hakerzy skupili się na celach związanych z działaniami wojennym oraz z usługami.

Co ciekawe – liczba incydentów krytycznych zmalała o 90 proc. w stosunku do 2023 roku, natomiast przybyło incydentów o średnim i niskim priorytecie (kolejno o 32 i 75 proc.). Łącznie zanotowano o 19% więcej ataków niż w roku ub.

Jak pokazują wykresy, trend wzrostu liczby incydentów cybernetycznych utrzymuje się, pomimo spadku liczby incydentów o wysokiej i krytycznej wadze. Ciągła i skuteczna współpraca pomiędzy jednostkami Państwowej Służby Łączności Specjalnej i Ochrony Informacji Ukrainy (SSSCIP), których główną misją jest zapewnienie cyberbezpieczeństwa i obrony cybernetycznej Ukrainy, miała znaczący wpływ na te statystyki.
Raport - "Rosyjskie operacje cybernetyczne"

Aktywność 8 grup

W pierwszej połowie 2024 roku ukraińskie służby zarejestrowały dużą aktywność 8 grup zajmujących się cyberszpiegostwem oraz atakami finansowymi. Przedstawiamy je poniżej. Główną metodą ich działania były kampanie e-mailowe (phishing) rozprzestrzeniające malware, a także ataki na konta w komunikatorach.

• UAC-0184 (Cyberszpiegostwo, Rosja)
• UAC-0027 (Cyberszpiegostwo, Chiny)
• UAC-0195 (Kradzież konta na Messengerze)
• UAC-0020 (Cyberszpiegostwo, tymczasowo okupowany Ługańsk)
• UAC-0149 (Cyberszpiegostwo, Rosja)
• UAC-0188 (Ataki na instytucje finansowe i ubezpieczeniowe w UE, USA i w Ukrainie)
• UAC-0063 (Cyberszpiegostwo, prawdopodobnie po UAC-0001)
• UAC-0180 (Cyberszpiegostwo)

Zaobserwowano też działania innych grup. Rosyjscy hakerzy związani z UAC-0050 na początku roku rozsyłali fałszywe maile nawet 5 razy w tygodniu. Grupy UAC-0149 i UAC-0184 atakowały m.in. osoby związane z Siłami Obronnymi Ukrainy. Aktywność UAC-0010, obsługiwanej przez rosyjską FSB, trwa nieprzerwanie od 2014 i nadal jest rejestrowana.

Ataki na wojskowych

W raporcie SSSCIP omówiono sposób działania kilku grupy hakerskich. Rosyjska UAC-0184 podczas pełnoskalowej inwazji aktywnie gromadziła dane osobowe obywateli Ukrainy, w tym personelu wojskowego.

Dane te obejmują imiona, nazwiska, numery telefonów, informacje paszportowe oraz przynależność do jednostek wojskowych i zajmowane stanowiska. Tego rodzaju informacje umożliwiają hakerom skoncentrowanie wysiłków na konkretnych osobach, których komputery mogą zawierać ważne dokumenty.

Na podstawie danych hakerzy grupy UAC-0184 podszywają się pod inne osoby i inicjują kontakt z wybranymi ofiarami, często przez aplikację Signal, a nawet platformy randkowe – by zdobyć ich zaufanie. Gdy im się to uda, pod pretekstem przesyłania dokumentów związanych z nagrodami, materiałami wideo z pola walki lub rekrutacji do innych jednostek, hakerzy wysyłają archiwum zawierające skrót.

Po otwarciu skrótu na komputerze ofierze wyświetla się wyświetla fałszywy plik, związany z tematem rozmowy. Jednocześnie system jest infekowany złośliwym oprogramowaniem typu downloader, które następnie instaluje oprogramowanie do zdalnego sterowania. W ten sposób hakerzy z UAC-0184 uzyskują pełny dostęp do komputera ofiary.

Aktywność grupy UAC-0020 w Ługańsku

Grupa ta działała najaktywniej w marcu 2024 na tymczasowo okupowanym terenie Ługańska. Podlegała rosyjskiej administracji publicznej. „Są to w zasadzie zdrajcy, którzy stanęli po stronie okupanta, podobnie jak grupa UAC-0010” – piszą autorzy raportu.  

Ofiary otrzymały e-mail rzekomo zawierający specyfikacje techniczne nowego systemu uzbrojenia. W rzeczywistości było to archiwum, które zawierało plik-przynętę „Wowchok.pdf”, instalator EXE „sync.exe” oraz plik BAT „run\_user.bat”.

Do zbierania danych hakerzy użyli złośliwego oprogramowania SPECTR, a do ich kradzieży - legalnego oprogramowania SyncThing.

UAC-006 i ataki na komputery księgowych

Grupa UAC-0006, aktywna w 2023 roku i w pierwszej połowie 2024, zajmowała się atakami finansowymi poprzez kampanie phishingowe. W br. zarejestrowano 251 ataków tej grupy. Celem byli pracownicy działów finansowych różnych organizacji, w tym księgowi.

W tym ostatnim przypadku hakerzy infekowali urządzenia złośliwym oprogramowaniem SmokeLoader. Za jego pomocą instalowali inne rodzaje malware, np. TALESHOT. Robił on zrzuty ekranu w aplikacji bankowej, w tym okien przeglądarki w wersji web. Zdjęcia były automatycznie wysyłane do atakujących. Hakerzy uzyskiwali też dostęp do komputerów księgowych (równocześnie z legalnym użytkownikiem). Celem było tworzenie lub edytowanie faktur.

Petycja i głosowanie – nowe metody z wykorzystaniem komunikatorów

Przez te komunikatory działa grupa UAC-0195, której celem jest wyłudzanie pieniędzy i danych (szpiegostwo). Ukraińskie służby wykryły nową metodę, która prowadziła do kradzieży kont WhatsApp.

Hakerzy UAC-0195 wykorzystali pretekst podpisania petycji na stronie prezydenta w celu przyznania mu tytułu „Bohatera Ukrainy”. Kierowali ofiary na stronę imitującą oficjalny portal prezydenta. Aby podpisać petycje, użytkownicy musieli „uwierzytelnić się”, wskutek czego do konta ofiary dodawano urządzenie hakerów. Do fałszywej wiadomości dołączono nawet wideoinstrukcję pokazującą niezbędne kroki (zdjęcie poniżej).

Drugą nowoodkrytą metodą działania UAC-0195 było fałszywe głosowanie na dziecko biorące udział w konkursie plastycznym. Atak prowadzony był za pośrednictwem Telegramu. Użytkownicy zostali poproszeni o „uwierzytelnienie się” przez komunikator, aby oddać głos, co również prowadziło do dodania urządzenia hakerów do konta ofiary.

Atak na infrastrukturę krytyczną

W marcu 2024 roku grupa UAC-0002 próbowała przeprowadzić atak na prawie 20 ukraińskich podmiotów infrastruktury energetycznej, w tym na obiekty dostarczające prąd, ciepło i wodę. Atakowanie tak dużej liczby organizacji indywidualnie byłoby trudnym zadaniem, dlatego próbowano przejmować co najmniej trzy łańcuchy dostaw jednocześnie. W niektórych przypadkach hakerzy wykorzystywali backdory i luki.

Atakujący przejmowali też konta pracowników dostawcy usług, którzy mieli dostęp do przemysłowych systemów sterowania (ICS) w celu konserwacji i wsparcia technicznego. W atakach na systemy oparte na Linuxie hakerzy stosowali złośliwe oprogramowanie znane jako LOADGRIP i BIASBOAT.

Jak czytamy w - nieautoryzowany dostęp do ICS znacznej liczby obiektów dostarczających energię, ciepło i wodę prawdopodobnie miał na celu wzmocnienie skutków ataków rakietowych na infrastrukturę Ukrainy wiosną 2024 roku.

Podsumowanie

SSSCIP zaznacza, że cyberprzestrzeń także jest polem bitwy. Szpiedzy wykorzystują najczęściej phishing i infekcje malwarem. „Wróg jest zdeterminowany, by zdobywać informacje za wszelką cenę, co prowadzi do wniosku, że cyberataki skierowane przeciwko personelowi wojskowemu i instytucjom rządowym będą nadal powszechne” – zaznaczono w podsumowaniu. Nie ustaną również cyberataki na infrastrukturę krytyczną.

Według służb kluczowym środkiem ochrony jest w tej sytuacji podnoszenie świadomości obywateli na temat podstawowych praktyk cyberhigieny i bieżących zagrożeń cybernetycznych.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].