Kradzież danych z rządowych skrzynek. Ślady prowadzą na Wschód

Specjaliści ESET wykryli i przeanalizowali kampanię szpiegowską, za którą prawdopodobnie stoi grupa Fancy Bear (APT 28), powiązana z rosyjskim wywiadem wojskowym GRU. Operację nazwali „RoundPress”.

Kradzież danych z rządowych skrzynek

W raporcie czytamy, że działania były wymierzone w rządowe skrzynki a ich celem jest kradzież poufnych danych z dokładnie określonych kont e-mail. Mowa o m.in. danych uwierzytelniających, biblioteki kontaktów czy wiadomości. 

Wiadomości z „dodatkiem”

Atakujący stosują spear-phishing i wykorzystują podatności 0-day i n-day w serwerach poczty. Jak wskazują eksperci, kampania rozpoczęła się w 2023 r. i była kontynuowana w kolejnym roku. Hakerzy wdrażali exploity w Roundcube (CVE-2020-35730, CVE-2023-43770), Horde, MDaemon (CVE-2024-11182) i Zimbra (CVE-2024-27443).

Treść wiadomości-przynęt dotyczyła zwykle bieżących wydarzeń, np. politycznych. Złośliwy kod JavaScript osadzano w treści wiadomości HTML. Ten uruchamiał atak XSS. 

Jednym z głównych celów Ukraina

Hakerzy działania ukierunkowali na podmioty z takich krajów jak Ukraina, Cypr, Grecja, Serbia, Kamerun, Ekwador, Bułgaria oraz Rumunia. W przypadku naszego sąsiada celem były nie tylko podmioty rządowe, ale również firmy zbrojeniowe oraz infrastruktura krytyczna.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na:[email protected].