Kradzież danych ukraińskiego rządu. Operacja zlecona przez GRU?

Specjaliści firmy Mandiant wykryli złośliwą kampanię wymierzoną w ukraiński rząd, którą nazwano „UNC4166”. Opierała się na socjotechnice, a sprawcy wykorzystywali zainfekowane trojanem instalatory systemu operacyjnego Windows 10.

Pliki zawierające złośliwe oprogramowanie były hostowane na ukraińskich i rosyjskich witrynach przeznaczonych do udostępniania danych.

Kradzież danych

Instalacja programu z wirusem sprawia, że sprawcy mogą przeglądać informacje znajdujące się na danym urządzeniu i je wykradać.

„W przypadku niektórych ofiar wdrażane są dodatkowe narzędzia, które pozwalają na dalsze gromadzenie danych wywiadowczych” – czytamy w analizie Mandiant. Mowa o m.in. backdoorach.

Nic nie wskazuje na motyw finansowy włamań, czy to poprzez kradzież danych, na których można zarobić, czy instalację ransomware lub użycie sprzętu do kopania kryptowalut.
Mandiant

Zleceniodawcą było GRU?

Specjaliści zwracają uwagę, że „podmioty stojące za kampanią są cierpliwe i świadome kwestii bezpieczeństwa”. Sprawcy przywiązywali dużą wagę do działania w ukryciu i zastosowali środki oraz techniki minimalizujące ryzyko wykrycia.

„Obecnie Mandiant nie posiada wystarczających informacji, aby przypisać kampanię wcześniej śledzonej grupie” – czytamy w analizie. Jednak specjaliści wskazują, że cele pokrywają się z przedmiotem zainteresowania grup kierowanymi przez jednostki powiązane z rosyjskim wywiadem wojskowym GRU.

Teraz ofiarami kampanii szpiegowskiej były ukraińskie podmioty rządowe. Mowa zwłaszcza o tych, które w przeszłości padły już ofiarami destrukcyjnych cyberataków z udziałem wiperów, kojarzonych po inwazji z grupą APT28 (inaczej też Fancy Bear, według USA powiązana z rosyjskim wywiadem).

Nieprzypadkowe cele

Zespół Mandiant zidentyfikował kilka urządzeń w ukraińskich sieciach rządowych, które zostały zainfekowane.

„W pewnych przypadkach zauważyliśmy, że urządzenia miały zainstalowane dodatkowe ładunki, które naszym zdaniem zostały rozmieszone po wstępnym rozpoznaniu użytkowników i wdrożeniu backdoorów" – mówią specjaliści. Chodzi o „STOWAWAY”, „BEACON” i „SPAREPART”.

To pokazuje, że atakujący najpierw prowadzą analizę celu, aby zobaczyć czy „będzie on interesujący”, a dopiero potem przechodzą do dalszych działań.

Co ciekawe, eksperci wykryli urządzenia, na które sprawcy próbowali pobrać przeglądarkę TOR. Obecnie nie wiadomo, dlaczego zdecydowano się na taki krok, ponieważ analiza nie wykazała ani jednego przypadku jej użycia.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].