Armia i Służby
Wojna hybrydowa na Ukrainie. Rosja zleciła cyberataki na członków rządu w Kijowie
Przedstawiciele ukraińskiego rządu byli celem cyberataków ze strony hakerów sponsorowanych przez Rosję. Wrogie działania mają miejsce w czasie rosnącego kryzysu na Krymie i wpisują się w strategię prowadzenia wojny hybrydowej przez Moskwę. Podczas operacji jako „wabik” wykorzystano m.in. skradzione dokumenty państwowe dotyczące relacji międzynarodowych obu państw.
Specjaliści Anomali Threat Research zidentyfikowali w sieci złośliwe próbki, których analiza wykazała, że są zgodne z dotychczasowymi narzędziami, taktyką i techniką działania grupy cyberszpiegowskiej Primitive Bear (znanej również jako Gamaredon, Winterflounder), która jest sponsorowana przez Rosję. We wcześniejszych przypadkach (cyberataki pod koniec 2019r. i w kwietniu 2020r.) wrogie działania również były wymierzone w podmioty na Ukrainie. To główna specjalność grupy.
Eksperci wskazują, że i tym razem celem operacji byli przedstawiciele ukraińskiego rządu i wysocy urzędnicy państwowi tego kraju. Jak wynika z analizy, hakerzy rozpowszechniali złośliwe pliki formatu „.docx” (Microsoft Word). Obecnie specjaliści wstrzymują się od jednoznacznych stwierdzeń odnośnie celu operacji. Podkreślają jednak, że główną metodą działania podczas kampanii był spearphishing.
W raporcie Anomali poświęconym cyberatakom zaznaczono, że większość „plików-wabików” była napisana po ukraińsku, część także po rosyjsku, a ich treść dotyczyła problemów okupowanego Krymu i odnosiła się do postępowania rosyjskich służb wywiadu oraz ukraińskich agencji rządowych, instytucji i podmiotów publicznych. W celu zwiększenia wiarygodności korespondencji hakerzy posługiwali się konkretnymi nazwiskami osób lub podmiotów, lecz eksperci nie podali dalszych szczegółów. Według analizy kampanii wrogie działania trwały od stycznia do połowy marca 2021r.
Grupa Primitive Bear kieruje się cyberszpiegostwem, a ostatnia kampania pokazuje jej specyfikę działania, polegającą na atakowaniu regionalnych wrogów.
Co warto odnotować, niektóre z dokumentów wykorzystywanych przez hakerów jako „wabik” były autentyczne. Oznacza to, że pozyskali je w drodze nielegalnego zakupu bądź kradzieży. Ponadto, treść zawarta w plikach poruszała bardzo istotne wydarzenia, które miały miejsce w okresie prowadzenia cyberataków. Przykładem może być plik, który odnosił do relacji ukraińsko-bułgarskich, w momencie gdy rząd w Sofii oskarżył o szpiegostwo na rzecz Rosji dwóch swoich obywateli 19 marca 2021r. Dokumenty o tej tematyce docierały już do wysokich urzędników Ukrainy, zanim jeszcze oficjalnie poinformowano o zaistniałej sytuacji.
Rosja jest znana z łączenia cyberoperacji z konwencjonalnymi działaniami, prowadząc wojnę hybrydową, co potwierdzają wydarzenia w Gruzji w 2008r. i na Ukrainie od co najmniej 2014r. (aneksja Krymu).
Innym przykładem może być plik, który miał być rzekomo notatką autorstwa Prokuratora Generalnego Ukrainy. Dokument, datowany na luty 2021r., zawierał zasady postępowania przygotowawczego w sprawie podejrzanych o terroryzm. Chodziło o przedstawicieli Donieckiej Republiki Ludowej (DRL) oraz Ługańskiej Republiki Ludowej (ŁRL), którzy zostali oskarżeni o walkę z ukraińskim rządem. „Rosja jest de facto zwierzchnikiem DRL i ŁRL, od momentu ogłoszenia przez te regiony niepodległość w 2014 roku, co sprawia, że wykorzystanie tej tematyki przez Primitive Bear jest grupy idealnym wabikiem” – wskazują specjaliści Anomali.