Cyberataki w Polsce. Rosja czy Korea Płn. – kto stoi za kampanią?

Eksperci kampanię nazwali „STIFF#BIZON”. Analiza wykazała, że hakerzy podczas cyberataków wykorzystują złośliwe oprogramowanie „Konni”. To trojan zdalnego dostępu RAT, który wcześniej był aktywnie wykorzystywany przez APT37. Pierwszy raz został wykryty w 2014 r.

Zwabić ofiarę

Infekcja złośliwym oprogramowaniem zaczyna się w dość standardowy sposób – poprzez wiadomość phishingową. Jej zadaniem jest „zwabienie” ofiary i skłonienie jej do otwarcia zainfekowanego załącznika. Są to zazwyczaj pliki Word o nazwie „missile.docx” oraz Windows Shortcut („\_weapons.doc.lnk”).

Twórcą dokumentów ma być rzekomo Olga Bozheva. „Domniemana autorka jest znana jako korespondentka wojenna w Rosji” – czytamy w analizie Securonix Threat Labs.

Po uzyskaniu dostępu do systemu ofiary hakerzy mogą np. odszyfrować bazę danych plików cookie w trybie offline i przesłać je na własne serwery, robić zrzuty ekranu oraz wyodrębniać zapisane dane uwierzytelniające z przeglądarek internetowych.

Jak wskazują specjaliści, aktywność APT37 często zaczyna się około 1:00-7:00 rano czasu UTC.

A może jednak rosyjski wywiad?

Eksperci podkreślają, że kampanię można przypisać półnokoreańskiej grupie APT37, lecz nie należy tego robić ze 100 proc. pewnością ze względu na dynamiczny charakter artefaktów i inne niejednoznaczne elementy.

„Wydaje się, że istnieje bezpośrednia korelacja między adresami IP, dostawcą usług hostingowych i nazwami hostów w ramach tego ataku (STIFF#BIZON – red.) a kampaniami, które zaobserwowaliśmy wcześniej z udziałem FancyBear/APT28 (grupa, która ma być powiązana z rosyjskim wywiadem – red.)” – zwracają uwagę specjaliści Securonix Threat Labs.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].