Atak na ukraińską instytucję badawczą

7 sierpnia br. doszło do cyberataku na jedną z ukraińskich instytucji naukowo-badawczych. Zespół reagowania na incydenty CERT-UA przeanalizował kampanię i podzielił się dotychczasowymi ustaleniami. 

Mail z „niespodzianką”

Eksperci wskazują, że sprawcy posiadali dostęp do konta mailowego pracownika trafionego podmiotu. Następnie rozesłali z jego adresu kopię niedawno otrzymanej wiadomości do kilkudziesięciu odbiorców. Jedyna zmiana dotyczyła załącznika: zamiast oryginalnego pliku, podpięli dokument Word (.docx), w którym osadzone zostało makro.

Główne narzędzia hakerów

Jego uruchomienie prowadziło do instalacji na urządzeniu Hatvibe i Cherryspy. Pierwsze złośliwe oprogramowanie pozwala pobierać i otwierać inne pliki na zainfekowanym sprzęcie. Z kolei Cherryspy to backdoor umożliwiający atakującym zdalne wykonanie kodu Pythona. Specjaliści CERT-UA zwracają uwagę, że sprawcom zależy na przejęciu kontroli nad urządzeniami ofiar. 

Polska także jest celem

Kampania jest śledzona pod identyfikatorem UAC-0063. Według ekspertów, ze średnią pewnością można powiązać ją z grupą APT28 (znaną również jako Fancy Bear), działającą na rzecz rosyjskiego GRU. Mówimy o aktorze APT, który aktywnie atakuje również Polskę oraz inne kraje. 

Potwierdza to chociażby pilne ostrzeżenie z maja br. wydane przez CERT Polska dotyczące dystrybuowania złośliwego oprogramowania przez Fancy Bear. Do tego celu hakerzy wykorzystywali techniki socjotechniczne: rozsyłali maile, których treść miała nakłonić odbiorców do kliknięcia w zamieszczony link. Szczegóły znajdziecie w materiale: Pilne ostrzeżenie. Polskie instytucje celem rosyjskiego wywiadu.

Nasi ukraińscy sąsiedzi wskazują, że podobne działania prowadzono w lipcu w Armenii. Złośliwe wiadomości wysłano do resortu obrony tego kraju, a rzekomym nadawcą miał być jego Kirgiski odpowiednik. 

Wojna. Poważne zaniedbania

Ostatni atak na instytucję naukowo-badawczą w Ukrainie (nie podano jej nazwy) zdaniem CERT-UA był możliwy, ponieważ systematycznie zaniedbywano kwestie cyberbezpieczeństwa. Mowa o m.in. braku uwierzytelniania wieloskładnikowego w skrzynkach mailowych. 

W warunkach wojennych każda słabość i błąd mogą pociągnąć za sobą poważne skutki. Zwłaszcza gdy mówimy o inwazji, której ważną częścią są właśnie operacje prowadzone w domenie cyber. Zaniedbania pomagają adwersarzom realizować ich cele.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na:[email protected].