Armia i Służby
Ukraina. Rosyjskie GRU zaatakowało infrastrukturę energetyczną
Autor. Mathias Reding/Pexels
Hakerzy powiązani z rosyjskim GRU zaatakowali ukraiński obiekt z sektora energetycznego. Grupa jest regularnie wykorzystywana przez Kreml do realizowania celów w ramach wojny. Jaki tym razem był jej cel?
Zespół reagowania na incydenty Ukrainy (CERT-UA) wykrył i zbadał ukierunkowany cyberatak na obiekt z sektora energetycznego. Specjaliści przypisali wrogie działania grupie APT28, znanej powszechnie jako Fancy Bear. Jej członków wiąże się z rosyjskim GRU.
Czytaj też
Atak hakerów GRU
Analiza kampanii wykazała, że sprawcy próbowali uzyskać dostęp do systemów i danych wspomnianego podmiotu. Chcieli to osiągnąć poprzez rozsyłanie na masową skalę wiadomości mailowych, które zawierały załączniki (np. „photo.zip”).
Eksperci CERT-UA tłumaczą, że kliknięcie powoduje pobranie archiwum zawierającego trzy grafiki (wabiki) oraz plik BAT „weblinks.cmd”. Końcowym efektem jest przekierowanie danych przez sieć TOR na serwery kontrolowane przez atakujących. Co ważne, w trakcie operacji grupa wykorzystuje legalne narzędzia jak Mockbin.
Czytaj też
Czujność pracownika
Działania hakerów okazały się nieskuteczne, dzięki czujności i odpowiedzialności pracownika obiektu, który ograniczył dostęp do zasobów sieciowych Mockbin (mockbin.org, mocky.io) i zablokował uruchomienie na urządzeniach programu Windows Script Host.
Czytaj też
Hakerzy na wojnie
Pamiętajmy, że APT28 pozostaje aktywna w ramach wojny w Ukrainie. Wystarczy przypomnieć ataki z kwietnia (próba ataku na ukraińskie agencje rządowe), czerwca (operacja szpiegowska wymierzona w lokalne organizacje) oraz lipca(kampania w celu kradzieży danych uwierzytelniających do skrzynek Ukraińców).
Czytaj też
Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na:[email protected].
