Aktywność cyberszpiegowska w ambasadach i ministerstwach m.in. Azerbejdżanu i Włoch przypisywać należy hakerom Putina z gangu Cozy Bear - wynika z analizy Narodowego Centrum Koordynacji Cyberbepzieczeństwa Ukrainy (NCSCC).
Kampania cyberszpiegowska, która realizowana była we wrześniu tego roku, dotknęła ambasady różnych krajów oraz ministerstwa, np. w Azerbejdżanie czy Włoszech. Według analizy Narodowego Centrum Koordynacji Cyberbezpieczeństwa z Ukrainy, stoją za nią Rosjanie - hakerzy działający na zlecenie Putina w ramach grupy APT29, znanej także jako Cozy Bear.
W przeszłości grupa wykorzystywała bardzo podobne środki w atakach na inne podmioty - uważają eksperci i wskazują m.in. na działania, które wycelowane były w instytucje w Kijowie w kwietniu tego roku. Wówczas celem ataków były ambasady innych państw znajdujące się w stolicy Ukrainy.
Czytaj też
Kreml chce informacji
Z raportu NCSCC wynika, że w ramach ostatniej swojej operacji, gang Cozy Bear za główny cel postawił sobie infiltrację ambasad i ministerstw. Na celowniku znalazły się instytucje z Azerbejdżanu, Grecji, Rumunii i Włoch. Zaatakowano też operatora telefonii komórkowej z Grecji - Otenet.
Włochy i Azerbejdżan to kraje, którymi gang działający na zlecenie Putina interesował się najbardziej. Tu na celowniku znalazły się przede wszystkim instytucje administracji zajmujące się sprawami międzynarodowymi. Zdaniem specjalistów, Rosjanie chcieli w ten sposób uzyskać wgląd w politykę dotyczącą strategicznych działań Azerbejdżanu w kontekście inwazji na Górski Karabach.
Czytaj też
Taktyki hakerów
APT29 zaatakowała ponad 200 adresów e-mail - Ukraińcy zaznaczają jednak, że nie wiadomo, ile ataków faktycznie się powiodło. Wśród wykorzystywanych przez hakerów Putina sposobów działania, było m.in. użycie niedawno odkrytej podatności popularnego narzędzia do budowania archiwów w systemie Windows - WinRar. To właśnie ten program i jego luka, którą można obserwować pod nazwą kodową CVE-2023-3883, były narzędziami cyberprzestępców działających nie tylko na zlecenie Moskwy, ale i Pekinu, przede wszystkim w początku bieżącego roku. Potem podatność została załatana, ale nie wszyscy zaktualizowali oprogramowanie - tam, gdzie tego nie zrobiono, luka nadal może stanowić furtkę dla cyberprzestępców.
Zdaniem NCSCC, podatność WinRara stanowi poważne zagrożenie, bo pozwala atakującym na wykonywanie kodu za pomocą specjalnie przygotowanych do tego, złośliwych archiwów ZIP. Właśnie w ten sposób atakowano w ramach ostatniej kampanii - gang rozsyłał phishingowe e-maile zawierające link do pobrania dokumentu PDF, jak i złośliwego archiwum ZIP wykorzystującego wspomnianą już wcześniej podatność. To w ten sposób Cozy Bear uzyskiwali dostęp do atakowanych systemów.
Interesującą informacją może być to, że aby przekonać ofiary do otwarcia załączników, w fałszywych e-mailach kolportowane były informacje o rzekomej sprzedaży samochodów marki BMW specjalnie dla sektora dyplomacji. Jak się okazało, zadziałało to skutecznie - zarówno w przypadku wspomnianych krajów, jak i ambasad w Kijowie w kwietniu tego roku.
Eksperci zwrócili też uwagę na wykorzystanie przez hakerów narzędzia Ngrok, które jest legalne - co kolejny raz komplikuje rzeczywistość, w jakiej dochodzi do starć obrońców cyberbezpieczeństwa i hakerów działających na zlecenie rządów takich, jak ten na Kremlu.
Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na:*[email protected].*