Ukraina. Rosyjskie GRU zaatakowało infrastrukturę energetyczną

Zespół reagowania na incydenty Ukrainy (CERT-UA) wykrył i zbadał ukierunkowany cyberatak na obiekt z sektora energetycznego. Specjaliści przypisali wrogie działania grupie APT28, znanej powszechnie jako Fancy Bear. Jej członków wiąże się z rosyjskim GRU. 

Atak hakerów GRU

Analiza kampanii wykazała, że sprawcy próbowali uzyskać dostęp do systemów i danych wspomnianego podmiotu. Chcieli to osiągnąć poprzez rozsyłanie na masową skalę wiadomości mailowych, które zawierały załączniki (np. „photo.zip”). 

Eksperci CERT-UA tłumaczą, że kliknięcie powoduje pobranie archiwum zawierającego trzy grafiki (wabiki) oraz plik BAT „weblinks.cmd”. Końcowym efektem jest przekierowanie danych przez sieć TOR na serwery kontrolowane przez atakujących. Co ważne, w trakcie operacji grupa wykorzystuje legalne narzędzia jak Mockbin. 

Czujność pracownika

Działania hakerów okazały się nieskuteczne, dzięki czujności i odpowiedzialności pracownika obiektu, który ograniczył dostęp do zasobów sieciowych Mockbin (mockbin.org, mocky.io) i zablokował uruchomienie na urządzeniach programu Windows Script Host.

Hakerzy na wojnie

Pamiętajmy, że APT28 pozostaje aktywna w ramach wojny w Ukrainie. Wystarczy przypomnieć ataki z kwietnia (próba ataku na ukraińskie agencje rządowe), czerwca (operacja szpiegowska wymierzona w lokalne organizacje) oraz lipca(kampania w celu kradzieży danych uwierzytelniających do skrzynek Ukraińców).

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na:[email protected].